本周,欧洲刑警组织一项国际联合执法行动在暗网社区引发了强烈轰动,该执法行动捣毁了名为“Cryptomixer”的加密货币混币网站,据称该网站自2016年以来可以在暗网与明网同时访问,参与洗钱超过13亿欧元的比特币。
2025年12月1日,欧洲刑警组织宣布,欧洲司法组织和欧洲刑警组织与德国和瑞士当局密切合作,支持瑞士和德国执法部门于11月24日至28日在瑞士苏黎世开展的为期一周的执法行动,此次行动的重点是取缔非法加密货币混合服务“Cryptomixer”。
“Cryptomixer”为勒索软件团伙、地下经济论坛和暗网市场提供了洗钱工具,使其资金来源不明,“Cryptomixer”能够阻止资金在区块链上的追踪,使其成为网络犯罪分子洗钱的首选平台,这些非法所得来自各种犯罪活动,例如毒品走私、武器走私、勒索软件攻击和支付卡欺诈。
瑞士警方查获了“Cryptomixer”的三台服务器以及明网域名cryptomixer.io。此次行动缴获了超过12TB的数据和价值超过2500万欧元的比特币。在非法服务被接管并关闭后,执法部门在该网站上发布了查封公告。
除了令人瞩目的数字之外,此次行动还凸显了全球打击网络犯罪斗争的一个关键转变:犯罪分子不再藏身于实体场所,而是躲在旨在抹去其踪迹的不透明数字工具背后。
“Cryptomixer”是一项旨在掩盖犯罪资金来源的服务 近十年来,“Cryptomixer”一直在明网和暗网公开运营,提供看似简单的服务:混合或“翻滚”加密货币,使其无法追踪。用户将比特币发送到该平台,平台会将这些比特币与其他加密货币混合,然后以掩盖其来源的方式返还给用户。实际上,这项技术已成为依赖匿名性的犯罪集团的避风港——贩毒集团、军火走私犯、勒索软件集团、诈骗网络以及非法暗网市场的运营者。“Cryptomixer”与之前的混币工具不同之处在于其混合特性:它将日常互联网与暗网的隐秘角落连接起来,使其既适用于业余网络犯罪分子,也适用于专业犯罪集团。
这项历经数月协调的调查最终查获了价值超过2500万欧元(约合2910万美元)的加密货币、三台物理服务器、该平台的域名,以及高达12TB的数据——这些数据足以包含详细的交易记录、用户日志和内部软件工具。尽管当局尚未透露有多少嫌疑人被捕或被起诉,但官员强调,查获的数据可能有助于开展进一步的行动。
加密货币混合器本身并不违法。理论上,它们为不希望其金融活动在区块链上被追踪的用户提供了一种增强隐私的服务。但实际上,这些混合器已成为网络犯罪生态系统中最常被滥用的工具之一。其核心吸引力在于它们能够破坏区块链技术所依赖的可见所有权链。一旦资金被混合,追踪资金的难度将呈指数级增长——即使是配备先进分析技术的经验丰富的取证团队也难以做到。
来自不同用户的存款会被随机汇集一段较长时间,然后再随机分配到各个目标地址。由于许多数字货币都提供所有交易的公开账本,混币服务使得追踪特定币种变得困难,从而掩盖了加密货币的来源。
诸如“Cryptomixer”之类的混币服务为客户提供匿名性,犯罪分子通常使用此类服务将洗白后的资产转移到加密货币交易所。这样,经过“清洗”的加密货币就可以通过ATM机或银行账户兑换成其他加密货币或法定货币。
据报道,“Cryptomixer”的软件更加领先。调查人员称,该系统采用了多层技术,包括多阶段混合、随机交易路径和提现延迟,旨在阻挠区块链侦查。这些功能有效地使该服务成为勒索软件团伙的首选工具,他们需要在不引起当局注意的情况下快速洗钱。支付卡诈骗团伙和毒品贩运者也利用了这种匿名性,通过“Cryptomixer”付款以兑现利润或在线购买非法商品。
它在暗网市场的流行表明,它与网络犯罪供应链的联系更加紧密。非法毒品超市、被盗数据供应商和雇佣黑客的平台都利用这种混币器接收付款,而无需暴露运营账户。对犯罪分子而言,“你的比特币不会被追踪”这一保证极具吸引力。
与去中心化混币器不同,Cryptomixer似乎完全由一个中心化团队控制,这使其更容易受到执法检查和服务器查封。然而,其庞大的运营规模——处理超过13亿欧元的比特币——揭示了此类服务的巨大需求,以及加密货币生态系统中流动的巨额犯罪利润。
欧洲刑警组织的支持与努力 对于欧洲刑警组织欧洲网络犯罪中心(EC3)而言,此次行动是其打击地下数字经济基础设施系列行动中的又一里程碑。欧洲刑警组织的一位代表称“Cryptomixer”是“全球规模最大、技术最复杂的加密货币洗钱服务之一”,并指出其长期运营使其能够深度渗透到多个非法供应链中。
欧盟刑事司法合作机构欧洲司法组织(Eurojust)也强调了同步执法行动的重要性。该机构通过跨多个司法管辖区签发搜查令、搜查令和数据扣押令,帮助切断了“Cryptomixer”的运营——如果执法行动各自为政,这是不可能实现的。鉴于瑞士在金融保密方面的声誉以及其对数字资产调查的严格规定,瑞士的合作尤为值得关注。
执法官员日益强调,打击这些“帮凶”与逮捕网络犯罪分子本身同等重要。如果没有这些“洗钱者”,勒索软件的支付更容易追踪,毒贩转移资金的风险会更高,暗网市场也难以维持匿名性。正如一位调查人员所指出的,“如果关闭了洗钱中心,就等于关闭了一半的犯罪经济。”
Cryptomixer的查封符合全球执法战略中日益增长的趋势。过去三年,当局越来越多地将加密货币混合平台作为打击勒索软件集团和地下数字经济的行动目标。类似的行动也针对了欧洲最大的暗网市场Hydra、与朝鲜黑客有关联的混合平台Blender.io以及受美国财政部制裁的去中心化混合服务Tornado Cash。“暗网下/AWX”曾报道,欧洲刑警组织在2023年3月支持取缔了当时最大的加密货币混币服务“Chipmixer”。
“Cryptomixer”的倒闭无疑将再次引发关于政府应如何监管隐私增强技术的辩论。批评者认为,此次打击行动有可能将隐私本身定为犯罪,而支持者则反驳说,混币器绝大多数时候都服务于犯罪目的。但更大的矛盾在于,去中心化自由的理想与在如今只需轻点几下鼠标即可跨境犯罪的时代,执法实际需求之间的矛盾。
随着当局对缴获的大量数据进行分析,预计将会有更多人被捕并展开调查。这能否从根本上遏制犯罪活动,还是仅仅迫使犯罪分子转向更复杂、更分散的工具,目前尚不得而知。但就目前而言,“暗网下/AWX”认为,对“Cryptomixer”的联合打击标志着,在网络犯罪网络与试图阻止它们的国际执法机构之间持续斗争中,国际执法机构取得了一次重大而辉煌的胜利。
参与此次执法行动的国家与机构 参与国家:
德国:联邦刑事警察局(Bundeskcriminalamt);美因河畔法兰克福总检察长办公室网络犯罪中心 (Generalstaatsanwaltschaft法兰克福美因河畔, Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität) 瑞士:苏黎世市警察局(Stadtpolizei Zürich);苏黎世州警察局(Kantonspolizei Zürich);苏黎世检察官办公室 (Staatsanwaltschaft Zürich) 参与机构:
欧洲刑警组织 欧洲司法组织
德国一名男子因长期贩卖伪造身份证件在萨克森-安哈尔特州被捕,据称其中许多证件曾通过现已关闭的暗网市场“Crimemarket”进行兜售。
跟据法兰克福检察官办公室和哈勒(萨勒河畔)联邦警察刑事调查部门联合发布的声明,这名36岁的男子是在萨克森-安哈尔特州的耶利哥地区被捕的,目前已被拘留。他涉嫌通过暗网寻找部分客户,被控犯有商业伪造罪。
警方称其至少涉及50起案件,以最高550欧元的加密货币价格出售可自由定制个人信息和照片的假身份证件。
德国七个联邦州(巴伐利亚州、柏林、黑森州、北莱茵-威斯特法伦州、莱茵兰-普法尔茨州、萨克森-安哈尔特州和石勒苏益格-荷尔斯泰因州)针对九名涉嫌客户展开大规模搜查行动。约有300名联邦警察参与了此次行动,查获空白身份证纸张、雕刻机、印章、伪造箔片元件及大量用户数据——调查人员认为这些证据将有助于锁定更多客户。
伪造身份证件费用最高可达550欧元 据当局报告,伪造身份证的价格最高可达550欧元,可以用加密货币支付。个人信息和照片可以随意选择。伪造证件常被用于诈骗或洗钱等活动。
据称,被告的销售渠道位于交易平台crimemarket.is上,该平台于2024年被执法部门关闭。该平台既可通过暗网访问,也可通过互联网访问。
对其他客户的调查方法 搜查过程中,警方发现了所谓的空白身份证——即用于制作身份证明文件的卡片。此外,还查获了雕刻机、印章和伪造的箔片元件。一辆摩托车也被扣押。声明中写道:“此外,警方还获取了大量用户数据,为进一步识别嫌疑人的客户提供了宝贵线索。”
该调查由法兰克福检察官办公室打击网络犯罪中央办公室(ZIT)负责进行。
德国警方于2024年初捣毁暗网网站“Crimemarket” “Crimemarket”曾经是德语区最大的在线犯罪交易平台,拥有超过18万名注册用户。该平台提供犯罪服务,并详细指导如何实施严重犯罪和吸毒。
2024年初,德国警方对最大的德语网络犯罪交易平台“Crimemarket”展开了突袭行动,查获位于冰岛的服务器,并逮捕了6人,其中包括主要嫌疑人,一名来自科尔申布罗伊希的23岁男子。据警方称,他正因涉嫌洗钱和计算机诈骗接受调查。此次突击行动主要集中在北莱茵-威斯特法伦州,共搜查了36处房产。警方缴获了大量证据,包括手机、IT设备、毒品以及总计60万欧元的现金和动产。
欧洲执法部门在一场史无前例的国际打击行动中,捣毁了暗网毒品交易市场“Archetyp Market”,这是一个规模庞大、长期存在的非法药物和合成阿片类药物暗网交易市场。此次行动由德国当局牵头,并得到了欧洲刑警组织(Europol)和欧洲司法组织的支持,逮捕了包括管理员与主要卖家在内的关键人员,查获了数百万美元资产,并摧毁了关键的数字基础设施。
欧盟范围内联合打击,终结Archetyp Market的运营 6月11日至13日期间,在欧洲刑警组织和欧洲司法组织的支持下,德国、荷兰、罗马尼亚、西班牙和瑞典等六国采取了一系列大规模协同执法行动,欧洲各地执法部门捣毁了历史最悠久的暗网市场“Archetyp Market”。执法行动主要针对该暗网平台的管理员、版主、主要供应商和技术基础设施,约300名警员被派往执行执法行动,以获取关键证据。
“Archetyp Market”作为一家运营了五年多的暗网毒品交易平台,一直不受监管地进行着毒品交易,悄然成为欧洲暗网毒品经济的支柱。该暗网平台在全球范围内积累了超过60万名用户,总交易额至少达2.5亿欧元,其中大部分是通过加密货币匿名交易的。该网站拥有超过1.7万个商品信息,是少数允许芬太尼和其他强效合成阿片类药物销售的暗网市场之一,加剧了这些药物在欧洲及其他地区日益严重的威胁。
此次调查的根源可以追溯到数年前,当局拼凑出一个由数字基础设施、匿名交易和假名供应商组成的复杂网络。德国联邦刑事警察局(Bundeskriminalamt)与法兰克福总检察长办公室(ZIT)网络犯罪中心合作,牵头开展了此次调查。欧洲刑警组织提供了关键情报并主持了协调会议,而欧洲司法组织则确保跨境法律程序的迅速执行。
调查人员追踪了加密货币的流动,渗透了供应商网络,并利用先进的数字取证技术对关键参与者进行了去匿名化处理。6月13日,超过300名警员在欧洲各地同步展开突击搜捕,最终收网。
此次行动导致该平台在荷兰的基础设施被关闭,其管理员——一名30岁的德国公民——在西班牙巴塞罗那被捕。与此同时,德国和瑞典对1名平台管理员和6名平台最高级别的卖家采取了逮捕措施,并扣押了价值780万欧元的资产。
根据德国警方提供的详细消息,嫌疑人在巴塞罗那的公寓,以及汉诺威、明登-吕贝克区和布加勒斯特各一处房产均遭到搜查。警方缴获了包括八部手机、四台电脑、34台数据存储设备以及总值
约780万欧元的资产在内的证据。荷兰国家警察局成功查封并关闭了荷兰一个数据中心用于运营犯罪平台的服务器基础设施。
此次由德国当局主导的行动标志着一个犯罪组织的终结,该组织曾帮助匿名交易大量非法毒品,包括可卡因、摇头丸、安非他明和合成阿片类药物。该平台的持久性、规模以及在犯罪界的声誉,使其与现已不复存在的暗网市场(例如梦幻市场和丝绸之路)相媲美,这两个暗网市场都因其在网络贩毒中扮演的角色而臭名昭著。
欧洲刑警组织牵头协调,并向暗网市场发出警告 欧洲刑警组织行动部副执行主任 Jean-Philippe Lecouffe 评论道: 通过此次行动,执法部门摧毁了暗网中历史最悠久的毒品交易市场之一,切断了世界上一些最危险毒品的主要供应线。通过摧毁其基础设施并逮捕其主要参与者,我们发出了一个明确的信号:那些从伤害中获利的人没有安全的避风港。
此次名为“深层哨兵行动”(Operation Deep Sentinel )的执法行动,是多年来深入调查该平台技术架构并识别其幕后黑手的一系列工作的结果。通过追踪资金流向、分析数字取证证据以及与当地合作伙伴的密切合作,当局最终对暗网上最活跃的毒品交易市场之一进行了决定性的打击。
欧洲刑警组织为国际调查的效率和有效性做出了贡献。该机构组织了多次协调会议,使各部门能够交换调查所需的关键信息。在行动日和初步调查期间,欧洲司法组织协调了司法协助和欧洲调查令的执行。
国际合作至关重要。美国国土安全调查局(HSI)、国税局刑事调查处和司法部等机构提供了法律和技术支持,罗马尼亚、瑞典和荷兰的警察部队则进行了地面突袭和数据截获。
警方已经对现已关闭的暗网市场“Archetyp Market”张贴了查封横幅,旨在劝阻潜在的暗网创业者。执法机构目前正在仔细审查已扣押的基础设施,以期识别更多参与者,并可能摧毁其他相关网络。更多信息以及针对地下经济的视频,请访问www.operation-deepsentinel.com在线查看。
参与或协助调查的国家部门 德国:法兰克福总检察长办公室 – 网络犯罪中心 (Generalstaatsanwaltschaft法兰克福 – ZIT)、联邦刑事警察局 (Bundeskcriminalamt) 荷兰:荷兰国家警察局(Politie) 罗马尼亚:国家警察 (Polişia Română) 西班牙:国家警察(Policía Nacional) 瑞典:瑞典警察局 (Polismyndigheten) 美国:国土安全调查局(HSI)、美国国税局刑事调查局(IRS-CI)、美国司法部(USDOJ) 欧洲刑警组织 欧洲司法组织 Dread有关Archetyp Market的帖子证实了变故 暗网市场Archetyp Market从6月11起开始离线,无法正常访问,当时许多人认为这有可能是一个退出骗局,但未经证实。
6月12日,Archetyp Market的管理员在暗网论坛Dread发布最新的帖子,标题为“Archetyp Market – What’s going on?” 中使用了破折号。他在所有带有破折号的帖子和信息中都使用了普通破折号。
Hey,
I got a lot of messages, I’m not going to answer everyone.
因涉嫌洗钱网络犯罪收益和运营犯罪交易平台,德国联邦刑事警察局(又名Bundeskriminalamt或BKA)与法兰克福检察院中央打击网络犯罪局 (ZIT)查封了与加密货币交易所eXch相关的服务器基础设施,并关闭了“eXch”加密货币交易平台。该平台之前可通过明网域名eXch[.]cx和其他各种明网、暗网的地址访问。
在2025年4月30开展的执法行动中,当局还查获了8TB的数据和大量加密货币资产,包括比特币、以太币、莱特币和达世币,价值3400万欧元(3825万美元),这是BKA历史上第三大数字资产查获案例。
据BKA称,eXch[.]cx自2014年起就开展运营,提供加密货币兑换服务,允许用户兑换数字资产。它在明网(Clearnet)和暗网上均有服务。
BKA在一份声明中表示,eXch平台不遵守“了解你的客户”(KYC)规定,并在犯罪地下经济(UE)平台上特别宣传”其没有实施任何反洗钱措施”,导致网络犯罪和其他非法团伙的洗钱活动猖獗。
用户无需向该服务表明身份,也不会存储用户数据。因此,通过eXch平台进行加密货币兑换特别适合隐藏资金流动。
公告称:“自推出以来,估计已有价值19亿美元的加密货币通过eXch服务进行隐匿转移。”
“有人怀疑eXch专门接收犯罪分子使用的比特币。此外,据信,2025年2月21日遭黑客攻击的加密货币交易所Bybit被盗的15亿美元中,有一部分是通过eXch洗白的。”
多位区块链专家称,创纪录的Bybit加密货币盗窃案是由臭名昭著的朝鲜黑客组织“Lazarus”实施的。
eXch立即被指控参与了Lazarus的洗钱活动,但当时eXch强烈否认,并称一些可疑的资金流动只是孤立案例。
最终,eXch平台的运营者屈服于压力和加强的审查,于今年4月17日宣布计划于本月停止运营,并在2025年5月1日关闭所有运营。当局预料到了这一点,并获得了大量证据和痕迹。尽管准备时间很短,但该平台的数据库和相关的加密资产是安全的。在调查期间,ZIT和BKA与荷兰税务调查办公室(FIOD)密切合作。 ZIT和BKA认为,诉讼中获得的调查结果也将有助于调查大量其他网络犯罪。
eXch运营者在BitcoinTalk论坛上发布的消息中宣称,在“收到确认信息”称该平台是“跨大西洋行动的对象,该行动旨在强行关闭我们的项目并以‘洗钱和恐怖主义’的罪名起诉我们”后,该平台将关闭。
eXch声称:“我们绝对没有想过要为洗钱或恐怖主义等非法活动提供便利,而我们现在正被指控犯有这些罪行。我们也绝对没有动机去运营一个会让我们被视为罪犯的项目。这对我们来说毫无意义。”
尽管如此,BKA扣押eXch基础设施(即使不再活跃)仍可以帮助追踪被盗金额并识别使用该服务的网络犯罪分子。
该平台的运营商也未能逃脱责任,德国警方宣布他们涉嫌商业洗钱和运营犯罪在线交易平台。BKA表示,尽管自eXch宣布关闭服务以来时间有限,但他们还是设法获得了大量证据,从而促成了今天的执法行动。
德国联邦刑事警察局局长兼网络犯罪部门负责人卡斯滕·梅维斯表示:“我们再次查获了价值数百万美元的涉案加密货币,并关闭了一个数字洗钱平台,这笔交易创下了历史新高。此次事件的规模令人印象深刻地表明,网络犯罪正在以工业规模进行。我们将竭尽所能,继续加大地下经济的损失风险。我们的目标仍然是追究责任人的责任。”
德国中央打击网络犯罪局(ZIT)首席检察官本杰明·克劳斯博士补充道:“加密货币交易是地下经济的重要组成部分,用于隐藏非法活动(例如黑客攻击或交易被盗支付卡数据)的犯罪资金,从而使犯罪分子能够获取这些资金。因此,执法机构必须持续打击此类快速匿名的洗钱机会,并剥夺犯罪分子的犯罪所得,这一点至关重要。”
荷兰财政信息和调查局(FIOD)在一条声明中表示,正在“积极调查通过该掉期服务参与洗钱和其他非法活动的个人”。声明还补充道:“我们想明确一点:此次行动并非对隐私的攻击。我们尊重隐私权,并认识到其在数字时代的重要性。然而,当服务被严重滥用于犯罪时,我们将会采取行动。我们敦促所有参与非法活动的人立即停止。法律后果可能非常严重。隐私不是问题,犯罪滥用才是问题。”
“暗网下/AWX”获悉,近期,德国巴伐利亚州刑事警察局(BLKA)与德国中央网络犯罪检控局(ZCB)合作,在德国联邦刑事警察局(BKA)的支持下,捣毁了一个名为“Pygmalion”的大型暗网毒品交易市场,查获了该暗网商店使用的多台服务器和洋葱域名。经过数月的调查,该暗网商店的基础设施被摧毁,数人被捕。
目前该暗网商店的暗网域名已经被警方查封,访问Pygmalion商店之前使用的所有暗网域名后均会显示当局发出的扣押通知,告知访问者该暗网网站已被查封。扣押通知中写道:“这些犯罪内容已由联邦刑事警察局(BKA)代表巴伐利亚州网络犯罪检控中心(ZCB)查封。”
缉毒调查与大规模逮捕行动 BLKA于2025年4月24日发布的新闻稿显示,警方调查的重点是居住在巴伐利亚州的七名嫌疑人,他们被指控在全球范围内大规模包装和运输毒品。
该调查基于图林根州刑事警察局进行的单独调查的信息。通过深入的数据分析,BLKA专家能够建立巴伐利亚州、图林根州和北莱茵-威斯特法伦州犯罪之间的联系,并揭示多层次的犯罪者结构。最终在诺伊堡和艾希施泰特地区确定了包装商和托运商的物流网络。
在因戈尔施塔特刑事调查部门和邮政服务提供商的密切合作下,多批含有毒品的邮件在送达前被查获,这些邮件原本打算寄往世界各地的收件人。
2025年2月7日,BLKA警察部队在防暴警察和上巴伐利亚北部警察总部的支援下,根据先前获得的逮捕令逮捕了4名嫌疑人,包括3男1女,年龄在24岁至56岁之间。他们涉嫌组成一个负责包装和运送毒品给全球买家的团伙。逮捕行动分别在艾希施泰特区和多瑙河畔诺伊堡镇进行。
在对五处房产的联合突击搜查中,警方缴获了超过53公斤的毒品及非法药物,包括约30公斤甲基苯丙胺、2公斤海洛因和4公斤可卡因。此外,还缴获了约15万片受德国《药品法》管制的药片。
尤其引人注目的是这些毒品的专业储存和管理:许多毒品已被预先分装到约7000个真空密封袋中,准备分发。据官员们估计,这些被缴获的毒品零售价约为七位数欧元。
暗网商店“Pygmalion”的用户数据被警方获取 BLKA的网络贩毒调查部门(FARO)正在密切开展进一步调查。通过对查获的通信介质进行初步取证分析,调查人员发现了大量详细的记录,包括可追溯到2024年4月的客户数据和订单历史记录。初步取证分析显示,犯罪者保留了详细的会计记录,从中可以获取自2024年4月左右以来的至少7250份订单信息和相关客户数据。
这些信息不仅可以作为对被捕嫌疑人和其他被告的定罪证据,还可以识别提交订单的客户,也就是这些毒品的买家。
在此背景下,调查部门再次指出,通过互联网购买毒品——无论是在明网还是暗网——都不能免于刑事起诉。与许多此类暗网商店经营者的说法相反,订单数据通常会保存数年。这些数据通常构成刑事调查的宝贵证据链。
广泛的调查仍在进行中。被告人面临严重的刑事后果。由于犯罪行为涉嫌团伙化、有组织、专业化,且涉案毒品数量巨大,他们面临5至15年的监禁。
图林根州刑事警察局此前调查收集的数据揭示了此次行动的规模。一旦确定了巴伐利亚州、图林根州和北莱茵-威斯特法伦州的犯罪活动之间的联系,当局就能绘制出包括包装商、托运人和协调员在内的内部结构。
暗网市场的运营者提示:“低调行事” 在此次下架事件之后,一条据称是该暗网市场的运营者发布在Pastebin的消息通过重定向从现已关闭的“Pygmalion”暗网商店传播开来。消息内容如下:
Hey dear customers,
You’ve already heard it from the BKA: Our shop has been seized. Normally, this wouldn’t even be possible since we’re behind Tor—but Pygmalion had access to the server. This means customer data is likely now in the hands of the authorities.
To everyone who placed orders around April 2024 or later:
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
2021年,德国当局通过对Tor用户进行去匿名化,捣毁了臭名昭著的CSAM暗网平台Boystown。随着执法部门打击暗网上的犯罪活动,这一突破引发了人们对Tor隐私的担忧。
根据NDR的报告,德国当局对Tor(一个专为匿名而设计的网络)用户的去匿名化能力在这次行动的成功中发挥了至关重要的作用。通过监视特定的Tor节点,他们识别了访问该网站的用户。
然而,尽管Tor项目坚称其网络仍然安全,但此类突破引发了人们对Tor匿名功能安全性的担忧。Tor项目在其博客文章中承认,他们已经注意到NDR报告中的说法。然而,该组织还表示,它尚未收到德国当局提供的概念验证(PoC)或独立验证这些说法的文件。
另外,德国新闻杂志节目《全景》(Panorama)和YouTube调查新闻频道STRG_F也报道称,德国联邦刑事警察局(BKA)和法兰克福总检察长办公室在进行网络监控后,成功识别出至少一名Tor用户。
报道提到,“时序分析”是识别Tor用户的关键。该报道指出”尽管Tor网络中的数据连接经过了多次加密,但通过对单个数据包进行计时分析,可以追溯到Tor用户的匿名连接。“——但遗憾的是,报道没有解释该技术的工作原理。
Tor通过将用户的流量路由到所谓的暗网节点,从而掩藏混淆连接的真实来源,最终为其网络用户提供增强的匿名性。发送到Tor的流量经过层层加密,首先到达一个“入口”或“守卫”节点。然后,流量通过随机选择的至少三台服务器(也称为“中继”)中跳转,然后通过“出口节点”返回公共网络或连接到.onion服务。这一过程隐藏了连接的来源,使得仅从特定用户的网络流量观察其上网行为变得更加困难。
正如“时序分析”方法所建议的那样,观察长期使用趋势可能会削弱Tor的效力,因为它会为观察者提供有关向网络发送流量的用户的线索。举例来说,从本质上讲,有人可以向Tor网络添加节点,并记录下观察到的数据包进入和看到的数据包流出的时间。一段时间后,这些时间可能会帮助找出谁在连接特定的.onion服务。
欧洲著名黑客组织”混沌计算机俱乐部“(CCC)的发言人马蒂亚斯·马克斯(Matthias Marx)向新闻媒体提供了现有证据(记者获得的文件和其他信息),证实了这一方法的可信度,“这些证据强烈表明,执法部门多年来曾多次并成功地对选定的Tor用户实施时序分析攻击,以查出他们的匿名身份。”
Tor项目承认,尽管向记者索要了所有相关文件,但并未看到所有相关文件。Tor项目认为,德国警方之所以能够揭露Tor用户的身份,是因为该用户使用了过时的软件,而不是警方利用了一些未知的漏洞或类似的东西。
德国的报道称,在对一名名为“Andres G”的个人进行调查时使用了时序分析攻击,此人涉嫌运营名为”Boystown“的.onion暗网网站,该网站提供儿童性虐待材料(CSAM)。
据称,“Andres G”使用了匿名消息应用程序Ricochet,该应用程序通过Tor在发送者和接收者之间传递数据。更具体地说,据说他使用的聊天程序版本未能保护其Tor连接免受警方使用的基于时间的去匿名化方法攻击的影响。
报道称,德国当局获得了运营商西班牙电信公司(Telefónica)的合作支持,该公司提供了所有连接到已知Tor节点的O2用户的数据。通过将这些信息与Tor计时信息的观察结果相匹配,当局得以识别“Andres G”的真实身份,他于2022年在北莱茵-威斯特法伦州被捕、被指控、定罪并被判入狱多年。
Tor辩称,这种方法并不表明其服务存在缺陷。
该组织反而提出了一种理论,即“Andres G”使用不安全的Ricochet导致“守卫”节点被发现从而被抓获。简而言之,这意味着警察能够找出他用来通过Tor网络发送数据的入口或“守卫”节点。警方可以要求西班牙电信公司列出与该“守卫”节点连接的用户名单,并推断出Tor用户的身份。
Tor声称“Andres G”可能使用了旧版Ricochet,该版本不包含针对此类攻击的保护措施。Tor的文章指出:“自2022年6月发布3.0.12版以来,这种保护就存在于Ricochet-Refresh中,它是早已经不维护的Ricochet项目的一个维护分支。”
EFF高级技术专家Bill Budington称:“为了对流量进行时序分析,你确实需要攻陷一个守卫节点,因为它是Tor网络中的第一个节点,可以看到用户的IP地址。”如果不能直接攻陷守卫节点,就可以获取网络时序来完成监视。
Tor用户担心网络可能会被警方控制的节点淹没,从而影响匿名性。但要做到这一点,所需的节点数量将非常庞大。Tor项目承认,出口节点的部署数量有所增加,最近已超过 2000 个,但声称这并不值得担心。
Tor公关总监Pavel Zoneff表示:“声称Tor网络‘不健康’的说法完全不是事实。”
“网络健康团队已经实施了相关流程,以识别可能存在的、疑似由单一运营商和不良行为者管理的大型中继群组,并不允许它们加入网络。因此,它标记了大量需要清除的不良中继站,这些中继站随后被目录管理机构禁止。其中许多可能对用户没有真正的威胁。”他说。
Tor项目还呼吁帮助了解警方的具体做法。“我们需要有关此案的更多细节,”该团队表示。“在缺乏事实的情况下,我们很难向Tor社区、中继运营商和用户发布任何官方指导或负责任的披露。”
现在的信息是:“不要惊慌。”
德国当局捣毁了臭名昭著的CSAM暗网平台Boystown 德国当局与多家国际执法机构合作,成功捣毁了臭名昭著的暗网平台“Boystown”,该平台专门发布儿童性虐待内容(CSAM)。这件事发生在2021年4月,但直到现在才披露其细节。更疯狂的是,据德国媒体报道,当局成功使参与CSAM网站的Tor用户匿名化,并成功逮捕了他们。
该网站自2019年起运营,拥有超过40万注册用户,并实施了一些最严重的虐待行为,许多受害者都是男孩。德国联邦刑事警察局在欧洲刑警组织以及荷兰、美国、加拿大和其他几个国家的机构的支持下领导了这次行动。
Boystown的管理员三名德国男子被捕,第四名嫌疑人在巴拉圭被拘留,德国已要求引渡。这些人帮助用户逃避侦查,同时协助传播非法内容。
该平台于2021年4月被关闭,其聊天室也被拆除。这次国际行动对涉及CSAM的非法暗网活动进行了重大打击。
Tor 是一种匿名连接路径技术,而不是隐藏通信内容本身。当用户从自己的电脑访问所需的网页(如 google.com)时,通信路径上会添加多个中继点(节点),如其他电脑,并通过加密除出口节点(即最终访问路径)以外的所有内容来保持匿名性。
节点是通过Tor进行匿名通信的关键,由支持Tor理念的志愿者和组织运营。近日,”暗网下/AWX“获悉,其中一个运营出口节点的组织,德国的“Artikel_5_e.V”,于2024年9月8日在Tor项目论坛上报告说,它’遭到了德国警方的突袭’。
在Tor项目的官方论坛讨论组里,用户“Artikel_5_e.V”发布主题邮件称,作为运营Tor出口节点的非营利组织,他们组织注册地址的住所和办公室再次遭德国警方突袭。
该用户称,2024年8月16日,德国警方再次突击搜查了他们组织注册地址的住所和办公室。警方的第一次搜查发生在2017年。显然,如今仍有在德国执法部门工作的人认为搜查Tor出口节点运营者(非政府组织)会在某种程度上实现个人Tor用户的去匿名化,至少警方在文件中是这么说的。
与第一次一样,幸运的是,德国警方的突袭小组受过更好的教育,行为也比申请突袭的非技术人员和签字的法官要合理得多。因此,再次没有扣押任何硬件。除了一个烧毁的(中间中继)节点和一些与出口节点有关的账单文件外,该突击小组在一个半小时的搜查之后几乎空手而归。该组织打算对搜查令提出法律挑战与质疑,以确保这种情况不会再次发生。
该用户称,这又是一次在私人客厅里与武装警察共处了一个半小时,并被威胁要事实上摧毁一名非营利组织董事会成员的生计和软件业务(运走一卡车硬件),以迫使其合作。
该用户在文中表示,只要该组织还继续运行Tor的出口节点,他们就面临着更多被警方突袭的风险。因此,他个人不再愿意提供他自己的个人地址和办公空间作为该非营利组织/非政府组织的注册地址,他说他再也不愿意承担这种风险了。
“Artikel_5_e.V”呼吁于2024年9月21日召开该组织的全体成员大会。他们正在寻找新的董事会成员(接管并组织新的注册地址并继续运行Tor的出口节点)或讨论所有替代方案。这些方案包括“停止运营Tor的出口节点”,甚至采取最激烈的措施,即清算整个组织并将剩余预算分配给其他德国组织(这些组织必须符合他们的非营利章程)。
邮件在最后表示,会议时间和地点详情可以访问https://artikel5ev.de/查询,不过该网站目前无法正常访问。该组织打算主要为组织成员,以及无法亲自参加的但是感兴趣的人提供直播视频流。不过,活动/直播将仅使用德语。直播的详细信息将在活动开始前不久在网站上公布。如果有人计划亲自参加,需要提前发送电子邮件,以便选择合适的房间进行安排。
对此,网友“edm0nd”在ycombinator发帖称,他不再运行任何Tor的出口节点的部分原因是执法部门的骚扰。他曾经运行了一些出口节点,前后大约有5年时间。但是在这5年中,他的托管服务提供商(DigitalOcean)收到了3份传票,要求他提供账户信息。
根据“edm0nd”的描述,3份传票源自网络犯罪分子利用其提供的出口节点IP进行的三次犯罪行为:第一次是有人向一所大学发送炸弹威胁邮件;第二次是有人发送了一封钓鱼邮件;最后一次也是最严重的一次,一些来自卡塔尔的民族国家黑客使用他提供的出口节点IP入侵了一些其感兴趣的人的电子邮件账户,监视他们并窃取了一些信息。
“edm0nd”称,幸好Tor项目和EFF都能无偿帮助他。被指派给他的EFF律师帮忙对抗了传票,但最终还是不得不把他的账户信息交给司法部,而且还必须提供一份宣誓书,声明自己只是一名节点运营者,服务器上的任何信息都不会对他们的调查有用。因为不得不与执法部门、律师打交道,还得面对可能因为一些无聊的事情而被抄家的压力,最终导致他关闭了他运营5年的Tor出口节点。
“edm0nd”还表示,尽管他的所有出口都采用了避规的措施,并将已知的恶意IP和c2/malware信息列入黑名单,使其无法使用,但他仍然不可避免成为执法部门的一个目标。他觉得可能是执法部门意识到运营Tor出口节点的人是其可以瞄准的一大弱点,因为很多Tor出口节点运营者都是个人,没有太多资源与执法部门对抗。执法部门可以利用法律系统来吓唬运营者,迫使他们关闭。
不过,“edm0nd”希望有朝一日他能够重新开始运营Tor的出口节点,因为他觉得能以微薄之力帮助世界各地的人们是一件很有意义的事情。
在该回复下面,有许多网友进行了评论,虽然大家认为提供Tor的出口节点是一个公益行为,虽然带来了隐私和自由等理想主义,但是也让”坏人都可以使用相同的基础设施来逃避调查/起诉“,而且任何Tor的基础设施其实都是恐怖主义的工具。”暗网下/AWX“其实也认可这种说法,Tor的存在、暗网的存在一直有着两面性,就看利弊如何权衡。
Tor的中继节点很重要,组成了暗网网络,但是,出口节点最为重要,早在2021年,曾有超过27%的Tor出口节点被黑客组织控制用来监视暗网用户的活动。德国也是Tor节点的较大提供国家,在2021年,在所有6519个中继节点(relays)中,约24%在德国;在所有3634个保护节点(guard nodes)中,约25%位于德国;在所有1195个出口节点(exit nodes)中,约有23%位于德国。
根据Dark Web Informer最近发布的一条推文,暗网五大在线市场之一的复仇女神市场(Nemesis Market)已被关闭。
🚨BREAKING🚨Nemesis Market, a top 5 darknet market, has been seized. #Nemesis #DarkWebInformer #DarkWeb #Cybersecurity #Cyberattack #Cybercrime #Infosec #CTI #Darknet pic.twitter.com/P22VDSo79v
— Dark Web Informer (@DarkWebInformer) March 21, 2024 同时,”暗网下/AWX“发现,德国警方已经宣布,他们查封了名为”复仇女神“(Nemesis)的臭名昭著的非法暗网市场的基础设施,并关闭了其网站。
Takedown von #Darknet-Marktplatz: Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und #BKA schalten gemeinsam mit internationalen Partnerbehörden illegalen „Nemesis Market“ ab. Mehr dazu unter https://t.co/uKmAHMAC01
— Bundeskriminalamt (@bka) March 21, 2024 Nemesis市场是暗网市场生态系统的领军人物,这次行动摧毁了一个主要的非法暗网贸易中心,交易范围从毒品到被盗数据,影响了全球成千上万的用户。