执法查封

今日，FBI查封了勒索软件团伙Scattered Lapsus$ Hunters使用的BreachForums域名（Breachforums.hn），正如前期“暗网下/AWX”报道，勒索组织针对Salesforce及其客户开展黑客攻击后开设了暗网泄密网站，而该域名是数据泄露网站在明网的镜像。 今年夏天，Breachforums[.]hn域名曾用于重新启动暗网数据泄露论坛Breachforums，但在一些核心运营管理员被捕后，该网站很快再次下线。根据“暗网下/AWX”之前的报道，今年6月份，法国执法部门逮捕了包括ShinyHunters、Hollow、Noct和Depressed在内的四名BreachForums成员，美国起诉了另一名BreachForums成员IntelBroker。7月份，ShinyHunters曾宣布重新启动 BreachForums，一个月后，新BreachForums论坛下线，ShinyHunters发布了一条带有PGP签名的消息，称该论坛的基础设施已被法国BL2C部门和FBI查封，并表示不会再重启。 本月初，该域名被Scattered Lapsus$ Hunters团伙转变为针对Salesforce数据泄露的网站，目的是勒索Salesforce以及受到影响的客户公司。根据“暗网下/AWX”之前的介绍，Scattered Lapsus$ Hunters团伙由与Scattered Spider、Lapsus$和ShinyHunters勒索软件团伙有关联的成员组成。 本周，Breachforums[.]hn域名已经无法访问，10月8日，该团伙在Telegram频道宣布不再运营明网域名。10月9日，Breachforums[.]hn域名被FBI接管，域名的NS服务器被切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov，目前访问该域名显示巨大的扣押横幅。 根据扣押信息，在Scattered Lapsus$ Hunters团伙开始泄露Salesforce被盗数据之前，美国和法国的执法部门合作控制了BreachForums的所有网络基础设施。 FBI在X上称，联邦调查局及其合作伙伴已查封与BreachForums相关的域名。该犯罪市场平台被ShinyHunters、Baphomet和IntelBroker等团伙用于贩卖窃取数据并实施敲诈勒索。此次行动切断了犯罪分子利用该枢纽平台牟利、招募同伙及跨行业锁定受害者的关键通道，彰显了国际执法协同行动的威慑力——必将让网络犯罪幕后黑手付出代价。 The FBI and our partners have seized domains associated with BreachForums, a major criminal marketplace used by ShinyHunters, Baphomet, and IntelBroker to traffic stolen data and facilitate extortion. This takedown removes access to a key hub used by these actors to monetize… pic.twitter.com/aiTRzFCIYU — FBI (@FBI) October 12, 2025 对此，Scattered Lapsus$ Hunters团伙在Telegram频道挑衅道，扣押一个域名不会影响其行动，FBI还需要更加努力。 Scattered Lapsus$ Hunters团伙在Telegram频道发布声明回应明网域名被扣押 10月10日，Scattered Lapsus$ Hunters团伙在Telegram频道、暗网网站以及pastebin同步发布带有PGP签名的声明，确认Breachforums[.

美国司法部宣布，在一次国际执法行动中，美国新墨西哥州检察官办公室和联邦调查局阿尔伯克基外地办事处与荷兰警方共同捣毁了VerifTools市场，查获了多个向全球网络犯罪分子提供伪造身份证件的在线平台。 此次行动捣毁的“VerifTools”非法市场，是一个向世界各地的网络犯罪分子兜售伪造身份证件的大型地下市场，该市场负责制作和分发假驾照、护照和其他形式的身份证明，旨在规避验证系统并促进未经授权的账户接管，以绕过KYC检查并获得对在线账户进行未经授权的访问。 目前，VerifTools市场的两个明网域名（verif[.]tools和veriftools[.]net）和一个博客已被关闭，网站访问者被重定向至一个醒目的扣押页面，页面显示这是由美国联邦调查局根据美国地方法院签发的搜查令采取的扣押行动，托管VerifTools网站的服务器已经在荷兰阿姆斯特丹被查封，但尚不清楚该市场的管理员是谁。 虽然2个域名被扣押，但“暗网下/AWX”发现，几个小时后，新的域名就重新启动了。VerifTools背后的运营者于2025年8月28日发布Telegram公告，宣称他们已经在域名“veriftools[.]com”上重新启动了该服务，Whois信息显示该域名于2018年12月10日创建。 FBI取缔暗网市场VerifTools 美国联邦调查局（FBI）在发现了一起利用被盗个人身份信息（PII）未经授权访问加密货币账户和在区块链上进行非法转账的阴谋后，于2022年8月启动了“铁印行动”（Operation Iron Seal），对此展开了调查。 调查发现，VerifTools为美国所有50个州和多个外国司法管辖区提供高质量的伪造的数字和实体身份证件，并通过隐私增强钱包接受比特币（BTC）和门罗币（XMR）付款。通过使用加密货币混币服务和基于Tor的隐藏服务，VerifTools背后的运营商掩盖了交易轨迹和服务器位置。 该市场上每份文件的价格低至9美元，交易完全以加密货币进行，以逃避传统银行的审查。随后，联邦调查局探员在VerifTools平台测试交易，购买了伪造的新墨西哥州驾驶执照（每张证件仅售9美元），通过分析与这些购买相关的区块链记录，调查人员追踪到流经市场的约640万美元的非法收益，然后获取并验证了VerifTools的后端源代码。 FBI分析师部署了标准的DNS sinkholing技术，将VerifTools的顶级域名（TLD）重定向到政府控制的服务器，从而有效地中和了这些网站并保留了证据。 该暗网市场犯罪活动的范围之广以及伪造技术的复杂性对金融机构、在线服务和政府机构采用的身份验证协议构成了重大威胁。 “互联网不是犯罪分子的避难所。如果你制造或销售让犯罪分子冒充受害者的工具，你就参与了犯罪活动，”美国代理检察官瑞安·埃里森（Ryan Ellison）表示，“我们将使用一切合法手段，扰乱你的生意，夺走你的利润，并将你绳之以法。”没有任何一项行动比我们共同的努力更大。” 国际联合执法合作的又一次成功案例 VerifTools的取缔凸显了跨机构和国际合作的关键作用。美国司法部国际事务办公室与美国弗吉尼亚东区的检察官和调查人员合作，协调跨司法管辖区的法律行动。荷兰国家警察局和荷兰检察机关等国际合作伙伴提供了关键证据和执法援助。 荷兰国家警察局在一份联合声明中称，VerifTools是最大的虚假身份证件提供商之一。除了两台物理服务器外，执法部门还查获了超过21台虚拟服务器。 官员们还指出，该网站服务器上的整个基础设施都已被保护并复制，以供后续分析。在荷兰，伪造、提供虚假身份证明以及使用伪造支付工具最高可判处六年监禁。 “许多公司和机构使用所谓的‘了解你的客户’（KYC）验证，通常只需要身份证件照片即可。使用VerifTools，就可以绕过KYC控制，”荷兰警方表示。“犯罪分子热衷于使用VerifTools之类的平台，因为他们可以利用创建的文件进行欺诈，例如银行服务台欺诈和网络钓鱼。” 美国联邦调查局阿尔伯克基分部代理特别探员菲利普·拉塞尔（Philip Russell）强调了公共安全的影响：“取缔这个市场是保护公众免受欺诈和身份盗窃犯罪侵害的重要一步。我们将与合作伙伴一起，继续瞄准并摧毁犯罪分子所依赖的平台，无论他们在哪里运营。” 美国代理检察官瑞安·埃里森（Ryan Ellison）和代理特别探员菲利普·拉塞尔（Philip Russell）于2025年8月28日正式宣布扣押行动。

美国特勤局正在积极打击涉及信用卡、洗钱、加密货币诈骗或身份盗窃行动的金融欺诈。周三，在美国和荷兰当局领导的执法行动中，执法部门查封了BidenCash的多个域名，这是一个臭名昭著的暗网市场，专门窃取信用卡、个人信息和SSH访问权限，贩卖了超过1500万张被盗信用卡。 BidenCash是一个老牌非法信用卡商店 BidenCash是一个因出售泄露的信用卡信息而臭名昭著的老牌非法信用卡商店，自2022年3月推出以来，获得了巨大的关注。 在地下暗网中，非法信用卡商店已经存在二十多年了。最初，信用卡数据通常是通过PoS恶意软件大量收集的，这些恶意软件会从销售点（PoS）终端的内存中窃取暂时未加密的信用卡数据。后来，有人使用网络盗刷器窃取了信用卡信息，网络盗刷器是一种植入在线商店的恶意软件，用于在结账时收集顾客的付款详细信息。 BidenCash盗用了美国前总统拜登（Biden）的名字和形象，于2022年3月开始运营，主要用于出售被盗的信用卡号、泄露的凭证和个人信息，旨在填补大约一年前Joker’s Stash信用卡市场关闭以及俄罗斯当局查封包括Forum、TrumpDumps和UniCC在内的多家非法信用卡商店后留下的空白。 从一开始成立，BidenCash的管理员就试图吸引人们的注意力，不仅通过其设置的商店名称BidenCash，还通过泄露大量信用卡信息来吸引关注。 他们从2022年6月的一次小规模数据库泄露事件开始，该数据库包含数百万个电子邮件地址，但仅包含6600张信用卡信息。在2022年10月，BidenCash继续泄露了120万张信用卡，以推广其服务，其中大多数信用卡来自美国，有效期在2023年至2026年之间，覆盖地域范围广泛。2023年，该暗网市场又泄露了两个数据库，累计统计了超过400万张信用卡。 虽然BidenCash主要贩卖被盗信用卡数据，但它也提供被盗登录凭证，这些凭证可能允许远程访问服务器，从而可能引发更广泛的网络攻击。据网络安全公司SOCRadar称，其中包括批量出售的SSH凭证，另外，BidenCash还为客户提供自动购买工具和忠诚度系统等功能。 据报道，BidenCash背后的管理团队对其产品非常有信心，甚至推出了一项买家保护计划，对网站上出售已使用或无法使用信息的卖家进行惩罚。 SOCRadar今年早些时候在博客中写道：“拜登现金通过这些功能扩大了网络犯罪的规模和效率，使其成为对组织和个人的重大威胁。它在暗网生态系统中的角色凸显了此类平台在打击数字欺诈和盗窃方面所面临的挑战。” BidenCash暗网域名被重定向至扣押域名 据称，近145个与BidenCash网络犯罪市场相关的暗网和明网域名被关闭。该非法商店在暗网上的域名现已重定向至美国特勤局设置的域名，该域名专门用于查封涉及非法活动的网站，其中，该信用卡交易市场在明网中的.asia后缀顶级域名也重定向到了特勤局的usssdomainseizure.com域名。 跳转后的官方查封域名显示的横幅告知访问者，作为美国特勤局（USSS）和联邦调查局领导的国际行动的一部分，美国执法部门已查封BidenCash域名。该扣押横幅展示了带有美国司法部、联邦调查局、美国特勤局和荷兰高科技犯罪部门的徽章。 此次行动得到了荷兰国家警察局（Politie）、非营利性安全组织ShadowServer基金会以及实时攻击面可视性公司Searchlight Cyber​​的支持。 美国司法部发布的一份新闻稿称，此次行动在明网和暗网上查获了与BidenCash市场相关的约145个域名，美国当局还没收了与BidenCash非法交易相关的加密货币资金，但未披露其价值。 据报道，在运营期间，BidenCash管理员对网站上进行的每笔交易都收取费用”，同时允许用户购买被盗的财务和个人信息，包括受感染服务器的访问凭据。 美国司法部（DOJ）表示，该非法暗网市场在鼎盛时期拥有超过11.7万名客户，并通过出售约1500万个支付卡号和大量个人信息，获得了1700万美元的收入。 美国司法部在一份声明中表示：“2022年10月至2023年2月期间，BidenCash市场免费公布了330万张被盗的个人信用卡，以推广其服务的使用。” 这些记录包含了犯罪分子进行欺诈性付款所需的一切信息。声明称：“被盗数据包括信用卡号、有效期、卡验证值（CVV）号码、账户持有人姓名、地址、电子邮件地址和电话号码。” 此次打击行动是在全球执法机构开展“猛禽行动”等行动之后开展的，就在上个月，“猛禽行动”在10个国家/地区逮捕了270人，并缴获了价值2亿美元的加密货币和现金，并摧毁了多个暗网贩毒平台。 不过周三下午，多个BidenCash的域名已恢复在线访问。司法部和联邦调查局尚未回应关于此次行动中是否有人被捕的置评请求。

因涉嫌洗钱网络犯罪收益和运营犯罪交易平台，德国联邦刑事警察局（又名Bundeskriminalamt或BKA）与法兰克福检察院中央打击网络犯罪局 （ZIT）查封了与加密货币交易所eXch相关的服务器基础设施，并关闭了“eXch”加密货币交易平台。该平台之前可通过明网域名eXch[.]cx和其他各种明网、暗网的地址访问。 在2025年4月30开展的执法行动中，当局还查获了8TB的数据和大量加密货币资产，包括比特币、以太币、莱特币和达世币，价值3400万欧元（3825万美元），这是BKA历史上第三大数字资产查获案例。 据BKA称，eXch[.]cx自2014年起就开展运营，提供加密货币兑换服务，允许用户兑换数字资产。它在明网（Clearnet）和暗网上均有服务。 BKA在一份声明中表示，eXch平台不遵守“了解你的客户”（KYC）规定，并在犯罪地下经济（UE）平台上特别宣传”其没有实施任何反洗钱措施”，导致网络犯罪和其他非法团伙的洗钱活动猖獗。 用户无需向该服务表明身份，也不会存储用户数据。因此，通过eXch平台进行加密货币兑换特别适合隐藏资金流动。 公告称：“自推出以来，估计已有价值19亿美元的加密货币通过eXch服务进行隐匿转移。” “有人怀疑eXch专门接收犯罪分子使用的比特币。此外，据信，2025年2月21日遭黑客攻击的加密货币交易所Bybit被盗的15亿美元中，有一部分是通过eXch洗白的。” 多位区块链专家称，创纪录的Bybit加密货币盗窃案是由臭名昭著的朝鲜黑客组织“Lazarus”实施的。 eXch立即被指控参与了Lazarus的洗钱活动，但当时eXch强烈否认，并称一些可疑的资金流动只是孤立案例。 最终，eXch平台的运营者屈服于压力和加强的审查，于今年4月17日宣布计划于本月停止运营，并在2025年5月1日关闭所有运营。当局预料到了这一点，并获得了大量证据和痕迹。尽管准备时间很短，但该平台的数据库和相关的加密资产是安全的。在调查期间，ZIT和BKA与荷兰税务调查办公室（FIOD）密切合作。 ZIT和BKA认为，诉讼中获得的调查结果也将有助于调查大量其他网络犯罪。 eXch运营者在BitcoinTalk论坛上发布的消息中宣称，在“收到确认信息”称该平台是“跨大西洋行动的对象，该行动旨在强行关闭我们的项目并以‘洗钱和恐怖主义’的罪名起诉我们”后，该平台将关闭。 eXch声称：“我们绝对没有想过要为洗钱或恐怖主义等非法活动提供便利，而我们现在正被指控犯有这些罪行。我们也绝对没有动机去运营一个会让我们被视为罪犯的项目。这对我们来说毫无意义。” 尽管如此，BKA扣押eXch基础设施（即使不再活跃）仍可以帮助追踪被盗金额并识别使用该服务的网络犯罪分子。 该平台的运营商也未能逃脱责任，德国警方宣布他们涉嫌商业洗钱和运营犯罪在线交易平台。BKA表示，尽管自eXch宣布关闭服务以来时间有限，但他们还是设法获得了大量证据，从而促成了今天的执法行动。 德国联邦刑事警察局局长兼网络犯罪部门负责人卡斯滕·梅维斯表示：“我们再次查获了价值数百万美元的涉案加密货币，并关闭了一个数字洗钱平台，这笔交易创下了历史新高。此次事件的规模令人印象深刻地表明，网络犯罪正在以工业规模进行。我们将竭尽所能，继续加大地下经济的损失风险。我们的目标仍然是追究责任人的责任。” 德国中央打击网络犯罪局（ZIT）首席检察官本杰明·克劳斯博士补充道：“加密货币交易是地下经济的重要组成部分，用于隐藏非法活动（例如黑客攻击或交易被盗支付卡数据）的犯罪资金，从而使犯罪分子能够获取这些资金。因此，执法机构必须持续打击此类快速匿名的洗钱机会，并剥夺犯罪分子的犯罪所得，这一点至关重要。” 荷兰财政信息和调查局（FIOD）在一条声明中表示，正在“积极调查通过该掉期服务参与洗钱和其他非法活动的个人”。声明还补充道：“我们想明确一点：此次行动并非对隐私的攻击。我们尊重隐私权，并认识到其在数字时代的重要性。然而，当服务被严重滥用于犯罪时，我们将会采取行动。我们敦促所有参与非法活动的人立即停止。法律后果可能非常严重。隐私不是问题，犯罪滥用才是问题。”

“暗网下/AWX”获悉，近期，德国巴伐利亚州刑事警察局（BLKA）与德国中央网络犯罪检控局（ZCB）合作，在德国联邦刑事警察局（BKA）的支持下，捣毁了一个名为“Pygmalion”的大型暗网毒品交易市场，查获了该暗网商店使用的多台服务器和洋葱域名。经过数月的调查，该暗网商店的基础设施被摧毁，数人被捕。 目前该暗网商店的暗网域名已经被警方查封，访问Pygmalion商店之前使用的所有暗网域名后均会显示当局发出的扣押通知，告知访问者该暗网网站已被查封。扣押通知中写道：“这些犯罪内容已由联邦刑事警察局（BKA）代表巴伐利亚州网络犯罪检控中心（ZCB）查封。” 缉毒调查与大规模逮捕行动 BLKA于2025年4月24日发布的新闻稿显示，警方调查的重点是居住在巴伐利亚州的七名嫌疑人，他们被指控在全球范围内大规模包装和运输毒品。 该调查基于图林根州刑事警察局进行的单独调查的信息。通过深入的数据分析，BLKA专家能够建立巴伐利亚州、图林根州和北莱茵-威斯特法伦州犯罪之间的联系，并揭示多层次的犯罪者结构。最终在诺伊堡和艾希施泰特地区确定了包装商和托运商的物流网络。 在因戈尔施塔特刑事调查部门和邮政服务提供商的密切合作下，多批含有毒品的邮件在送达前被查获，这些邮件原本打算寄往世界各地的收件人。 2025年2月7日，BLKA警察部队在防暴警察和上巴伐利亚北部警察总部的支援下，根据先前获得的逮捕令逮捕了4名嫌疑人，包括3男1女，年龄在24岁至56岁之间。他们涉嫌组成一个负责包装和运送毒品给全球买家的团伙。逮捕行动分别在艾希施泰特区和多瑙河畔诺伊堡镇进行。 在对五处房产的联合突击搜查中，警方缴获了超过53公斤的毒品及非法药物，包括约30公斤甲基苯丙胺、2公斤海洛因和4公斤可卡因。此外，还缴获了约15万片受德国《药品法》管制的药片。 尤其引人注目的是这些毒品的专业储存和管理：许多毒品已被预先分装到约7000个真空密封袋中，准备分发。据官员们估计，这些被缴获的毒品零售价约为七位数欧元。 暗网商店“Pygmalion”的用户数据被警方获取 BLKA的网络贩毒调查部门（FARO）正在密切开展进一步调查。通过对查获的通信介质进行初步取证分析，调查人员发现了大量详细的记录，包括可追溯到2024年4月的客户数据和订单历史记录。初步取证分析显示，犯罪者保留了详细的会计记录，从中可以获取自2024年4月左右以来的至少7250份订单信息和相关客户数据。 这些信息不仅可以作为对被捕嫌疑人和其他被告的定罪证据，还可以识别提交订单的客户，也就是这些毒品的买家。 在此背景下，调查部门再次指出，通过互联网购买毒品——无论是在明网还是暗网——都不能免于刑事起诉。与许多此类暗网商店经营者的说法相反，订单数据通常会保存数年。这些数据通常构成刑事调查的宝贵证据链。 广泛的调查仍在进行中。被告人面临严重的刑事后果。由于犯罪行为涉嫌团伙化、有组织、专业化，且涉案毒品数量巨大，他们面临5至15年的监禁。 图林根州刑事警察局此前调查收集的数据揭示了此次行动的规模。一旦确定了巴伐利亚州、图林根州和北莱茵-威斯特法伦州的犯罪活动之间的联系，当局就能绘制出包括包装商、托运人和协调员在内的内部结构。 暗网市场的运营者提示：“低调行事” 在此次下架事件之后，一条据称是该暗网市场的运营者发布在Pastebin的消息通过重定向从现已关闭的“Pygmalion”暗网商店传播开来。消息内容如下： Hey dear customers, You’ve already heard it from the BKA: Our shop has been seized. Normally, this wouldn’t even be possible since we’re behind Tor—but Pygmalion had access to the server. This means customer data is likely now in the hands of the authorities. To everyone who placed orders around April 2024 or later:

“暗网下/AWX”获悉，近日欧洲刑警组织（EUROPOL）宣布捣毁了一个大型的多发性CSAM（儿童性虐待材料）暗网网站，该网站在暗网上被称为“Kidflix”，类似于知名的流媒体服务“Netflix”，被认为是世界上最大的恋童癖平台之一。 在欧洲刑警组织的支持下，此次行动由德国巴伐利亚州刑事警察局（Bayerisches Landeskriminalamt）和巴伐利亚州网络犯罪起诉中央办公室（ZCB）牵头，全球有超过35个国家参与了此次行动的联合执法。 “Kidflix”因其CSAM网站的“独特”功能而声名狼藉，该网站由一名网络犯罪分子于2021年创建的，他从中获利颇丰，很快成为恋童癖者中最受欢迎的平台之一。该网站使用流传输，允许用户根据视频质量进行过滤，观看性虐待儿童的直播，并在购买前预览视频。此外，在暗网网站上活跃、分享内容、制作独特内容等的个人可以获得“Kidflix代币”，从而可以免费获得其他CSAM资料。此外，该暗网网站在活跃期间上传和分享了91,000个独特视频，平均每小时约有3.5个独一无二的新CSAM视频上传进来，网站上共有6288小时（262天）的CSAM视频。 欧洲刑警组织的新闻稿称：“与其他此类已知平台不同，Kidflix不仅使用户能够下载CSAM，还可以流传输视频文件。用户使用加密货币付款，随后将其转换为代币。通过上传CSAM，验证视频标题和描述以及将类别分配给视频，犯罪者可以获得代币，然后将其用于查看内容。每个视频都上传了多个版本——低、中和高质量——允许犯罪分子预览内容并支付费用以解锁更高质量的版本。” 2022年4月至2025年3月期间，全球共有180万用户登录该平台。2025年3月11日，被德国和荷兰当局查封的时候，该暗网网站的服务器里存储有约72,000多部CSAM视频，其中许多视频此前执法部门都不掌握。 通过此次行动，全球有近1400名嫌疑人被确认。到目前为止，其中79人因分享和传播儿童性虐待材料（CSAM）而被捕。一些被捕者不仅上传和观看视频，还虐待儿童。调查仍在进行中。欧洲刑警组织表示，他们将继续与其他国家的执法机构合作，追究在“Kidflix”上犯下罪行的每个人的责任。 此次行动被称为“流行动”（Operation Stream），是欧洲刑警组织专家打击儿童性剥削行动中规模最大的一次行动，也是该执法机构近年来支持的最大案件之一。 调查期间，欧洲刑警组织欧洲网络犯罪中心（EC3）的分析师通过分析数千段视频，为各国当局提供了强有力的行动支持。欧洲刑警组织的专家还对所有可用数据进行了交叉核对，并向相关国家提供了证据，以促进调查。 鉴于案件规模，欧洲刑警组织在调查和行动日期间协调信息交流的作用对案件的成功至关重要。召集合作伙伴进行跨境合作和联合行动是欧洲刑警组织的主要优先事项之一，旨在加强打击各种形式的严重国际和有组织犯罪、网络犯罪和恐怖主义。 此次行动已经取得的成果 针对该暗网网站的调查于2022年开始，打击行动从2025年3月10日开始到3月23日结束。到目前为止，已取得以下成果： 已确认1393名嫌疑人 逮捕79名犯罪嫌疑人 查获3000多件电子设备 39名儿童受到保护 已经确定的嫌疑人中有63人来自英国，其中30人已经被捕 本站（anwangxia.com）从英国媒体针对该事件的报道中得知，此次行动调查确定的全球近1400名嫌疑人中，包括63名来自英国的嫌疑人；因分享和传播儿童性虐待材料而被捕的79人中，有30人来自英国。 北爱尔兰警察局现已证实，3名英国嫌疑人来自北爱尔兰，目前已逮捕2人，并搜查了3处房产。3月19日，警方在科莱雷恩逮捕了一名26岁的男子，并从他家中缴获了2台设备。同一天，警方还逮捕了一名34岁的邓唐纳德男子，并从他家中缴获了5台设备。3月20日，警方又搜查了一名40岁的德里男子的家，并缴获了6台设备。目前，这3人均已被释放，等待进一步调查。 北爱尔兰警察局发言人表示：“由于这是一项正在进行的现场调查，北爱尔兰警察局目前无法发表进一步的评论。”除了北爱尔兰警察局外，还有其他27个警察部门获得了有关该暗网网站潜在用户的情报。 欧洲各级官员称将严惩此类针对儿童的犯罪 NCA高级经理Neil Keeping表示：“感谢我们在德国和欧洲刑警组织的执法合作伙伴，一个包含数万个儿童性虐待视频的危险网站已被关闭。NCA情报人员迅速采取行动，确定了该网站的英国用户，并向全国各地的部队提供了一套情报，以便警方逮捕嫌疑人并保护儿童的安全。从全球到地方采取这种应对措施对于我们保护儿童免遭性虐待和寻找此类内容的犯罪分子的侵害至关重要。我们将继续与国际执法伙伴合作，摧毁纯粹为了满足犯罪分子性需求而在暗网上运营的在线平台，并确保儿童免受虐待。” 欧洲刑警组织执行主任凯瑟琳·德博勒表示：“数字化推动了网络儿童性剥削的快速发展，为犯罪者提供了一个无国界的平台，让他们可以联系和引诱受害者，以及制作、存储和交换儿童性虐待材料。有些人试图将此归结为技术或网络问题——但事实并非如此。这些犯罪背后有真正的受害者，这些受害者是儿童。作为一个社会，我们必须采取行动保护我们的孩子。” 欧盟内政和移民事务专员马格努斯·布伦纳表示：“摧毁这个犯罪网络表明了欧洲刑警组织等欧盟机构提供的附加价值。这正是欧盟委员会提出加强欧洲安全战略的原因。犯罪分子跨境活动，因此我们也必须支持调查人员这样做。” 从网上到线下，欧盟正在优先开展工作 儿童性剥削（CSE）是最近发布的欧盟严重有组织犯罪威胁评估报告（EU-SOCTA）中确定的欧盟内部安全的主要威胁之一。数字化维度引发了在线CSE的快速发展，为犯罪者提供了一个无边界平台来联系和诱骗受害者，以及创建、存储和交换CSAM。这一趋势将在未来几年继续增长。 然而，网络世界并非匿名。“流行动”中确定的大多数嫌疑人都与欧洲刑警组织数据库中的记录相匹配，这证明大多数从事儿童性剥削的罪犯都是惯犯，执法部门并非不知道。 儿童性剥削是一个重大威胁，因此也是欧盟打击严重有组织犯罪的优先事项之一。自2017年以来，欧洲刑警组织一直在开展“制止虐待儿童——追踪物品”倡议，鼓励公民识别物品以帮助警方拯救受虐儿童。 应欧盟成员国和其他合作伙伴的要求，欧洲刑警组织每年两次举办受害者识别工作组，这是一项将执法部门聚集在一起以开展本地调查并识别受害者的举措。德国和澳大利亚的儿童从该项目中受益，并获得了保护。 参与国家 1.阿尔巴尼亚：阿尔巴尼亚国家警察、刑事警察局网络犯罪调查局和特别行动部队局 （Policia e Shtetit, Drejtoria për Hetimin e Krimeve Kibernetike, Drejtoria e Forcës së Posaçme Operacionale） 2.澳大利亚：澳大利亚联邦警察 （AFP） 3.奥地利：刑事情报局（Bundeskcriminalamt） 4.比利时：比利时联邦警察 （Federale Politie / Police Fédérale） 5.保加利亚：网络犯罪总局 – 内政部打击有组织犯罪总局 （Дирекция “Киберпрестъпност” – Главна дирекция “Борба с организираната престъпност”, Министерство на вътрешните работи） 6.

根据欧洲刑警组织的公告，FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站，逮捕4名嫌疑人。 现在，访问勒索软件团伙8Base的暗网泄密网站，会看到一条扣押横幅，上面写着：“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托，查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。 通过此次行动，执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心，两周前，臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕，去年8月，FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。 4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道，此次逮捕行动在泰国普吉岛进行，目标是疑似是Phobos勒索软件团伙成员，该恶意软件家族与8Base的运营有关。 周一，四名勒索软件团伙的头目（两男两女）在四个不同地点被捕，这些头目均为俄罗斯公民，他们涉嫌部署Phobos勒索软件变种8Base，向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布，但泰国网络犯罪调查局称，瑞士和美国当局已向他们发出了逮捕令。 泰国警方表示，警方在普吉岛的四个地点进行了突袭，并补充说，嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道，警方还收到了国际刑警组织的逮捕令，这四人被指控对17家瑞士公司进行了网络攻击，并使用加密货币混合服务清洗勒索来的资金。 据称，当局已缴获40多件证据，包括手机、笔记本电脑和数字钱包。与此同时，与犯罪网络相关的27台服务器被关闭。 8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动，最初规模较小，表明其处于发展阶段。到2023年初，该团伙以目前的形式出现，并迅速发展其策略。2023年5月，8Base采用了多重勒索模式，加密数据并威胁除非支付赎金，否则泄露数据。他们还推出了暗网泄密网站，用一个基于Tor网络的受害者博客来发布被盗数据。 到2023年中期，该团伙的活动急剧增加，针对各个行业的团伙，成为主要的双重勒索行为者。据称，该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外，该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。 分析师认为，8Base使用的是Phobos勒索软件的修改版本，该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中，VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。 该团伙的影响是全球性的，美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠，特别是在赎金记录和暗网基础设施方面。 此前，针对Phobos勒索软件，警方已逮捕了一系列影响深远的嫌疑人： 2024年6月，Phobos的一名俄罗斯籍管理员（Evgenii Ptitsyn）在韩国被捕，并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉，这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月，该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年，Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕，这进一步削弱了该勒索软件背后的网络。 Phobos：一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现，是一种长期存在的网络犯罪工具，经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同，Phobos依赖于对中小型企业进行大规模攻击，而这些企业通常缺乏网络安全防御来保护自己。 它的勒索软件即服务（RaaS）模式让一系列犯罪分子（从个人分支机构到8Base等结构化犯罪集团）都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动，从而进一步助长了其广泛使用。 8Base利用Phobos的基础设施开发了自己的勒索软件变种，利用其加密和交付机制来定制攻击，以达到最大效果。该组织在双重勒索策略方面尤其激进，不仅加密受害者的数据，还威胁要公布被盗信息，除非支付赎金。 欧洲刑警组织的协调作用 由于执法工作横跨多个大洲，欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来，欧洲刑警组织的欧洲网络犯罪中心（EC3）一直为调查提供支持，并： 汇集平行调查的情报，确保针对Phobos和8Base的执法机构能够汇总他们的调查结果，并有效协调逮捕行动。 组织了37场行动会议和技术冲刺，以获得关键调查线索。 提供分析、加密追踪和取证专业知识来，为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组（J-CAT）内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息，使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议，协助跨境司法合作，并对所有相关当局的未决请求提供支持。 这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持，涉及14个国家的执法机构。目前，已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局（NCA）、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos，而另一些国家则针对8Base，有几个国家同时参与了这两个行动。 欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用，使当局能够通过协调行动，击落两个勒索软件网络的关键参与者。 以下部门参与了调查： 比利时：联邦警察（Federale Politie / Police Fédérale） 捷克：捷克共和国警察（Policie České republiky） 法国：巴黎网络犯罪小组 （Brigade de lutte contre la cybercriminalité de Paris – BL2C）、巴黎法院 – 国家打击有组织犯罪司法管辖区 （Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO） 德国：巴伐利亚州刑事警察局 （Bayerisches Landescriminalamt – LKA Bayern）、巴伐利亚网络犯罪起诉中央办公室 （Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern） 日本：警察厅（警察庁） 波兰：中央网络犯罪局 （Centralne Biuro Zwalczania Cyber​​przestępczości） 罗马尼亚：罗马尼亚警察 （Polişia Română） 新加坡：新加坡警察部队网络犯罪指挥部 西班牙：国民警卫队 瑞典：瑞典警察局（Polisen） 瑞士：瑞士总检察长办公室 （OAG）、联邦警察局 （fedpol） 泰国：网络犯罪调查局（CCIB） 英国：国家犯罪局（NCA） 美国：美国司法部（US DOJ）、联邦调查局（FBI – 巴尔的摩外地办事处）、美国国防部网络犯罪中心（DC3）

近期，美国司法部（DoJ）与国际执法部门合作，打击暗网网络犯罪论坛，并开展了两项行动，捣毁了与全球数百万受害者遭受攻击有关的地下市场。然而，目前尚不清楚这些努力的长期效果如何。 警方捣毁HeartSender网络犯罪市场网络 在第一次行动中，美国司法部与荷兰国家警察局协调，查获了巴基斯坦网络钓鱼团伙HeartSender使用的39个域名和相关服务器。 根据美国司法部1月31日的公告，HeartSender也被称为Saim Raza和Manipulators Team，自2020年开始运营，一直运营在线网络犯罪市场，通过地下网站网络向“跨国有组织犯罪集团”出售黑客和欺诈工具，如网络钓鱼工具包、恶意软件和垃圾邮件服务，购买这些工具的网络犯罪分子则负责全球商业电子邮件入侵（BEC）攻击和其他恶意诈骗。 司法部在声明中表示：“Saim Raza 不仅在开放的互联网上广泛传播这些工具，还通过链接到YouTube上的教学视频来向最终用户介绍如何使用这些恶意程序实施攻击，培训最终用户如何使用这些工具对付受害者，让缺乏技术犯罪专业知识的犯罪分子也能使用这些工具。”“该组织还宣传其工具‘完全无法被反垃圾邮件软件检测到’。” 司法部称，HeartSender仅在美国就给受害者造成了超过300万美元的损失，此外HeartSender还拥有全球数百万被盗的数据。 “cracked[.]io”和“nulled[.]to”暗网论坛被摧毁和消灭 在另一项行动中，美国司法部参与了“Operation Talent”行动，这是一项由欧洲刑警组织支持的国际行动，旨在摧毁Cracked（cracked[.]io）与Nulled（nulled[.]to）论坛。这些论坛与针对至少1700万美国受害者的网络犯罪有关。 在意大利、西班牙、法国、希腊、澳大利亚和罗马尼亚等多个国家的合作下，这项国际执法行动关闭了许多黑客论坛和社区，包括 cracked[.]io、nulled[.]to和其他一些论坛和社区。 这些域名以及sellix[.]io、cracked[.]to、starkRDP[.]io和mySellix[.]io都是在线论坛和社区，主要分享与黑客、破解工具、教程和泄露内容相关的信息。这些平台还讨论破解工具、黑客教程、泄露内容（例如电子书和各种操作系统的应用程序）和特定于编码语言的主题，并且它们还是恶意软件和漏洞等非法产品的市场。 据美国司法部称，Cracked论坛于2018年出现，拥有400万用户以及超过1800万条帖子，收入400万美元，并在其存在期间托管了超过2800万条网络犯罪广告。 正如其名称所示，Cracked论坛上提供的一项服务为用户提供了密码搜索工具，用于查找数百万个帐户和服务的被盗凭据。在一个案例中，据称一名跟踪者在使用该服务侵入纽约州布法罗地区的一名女性的其中一个帐户并获取敏感资料后，对其进行了性勒索和性骚扰。 Cracked论坛的工作人员在其Telegram频道上确认了此次扣押，承认该域名是在“Operation Talent”下被没收的。他们表示不确定此次行动背后的具体原因，并表示正在等待数据中心和域名托管商的官方法庭文件。他们将此次事件描述为“我们社区的悲伤之日”。 与此同时，Nulled网站域名被查封，其管理员之一、现居西班牙的阿根廷人Lucas Sohn也遭指控。Nulled自2016年成立以来，拥有500万用户，每年收入100万美元，并列出了超过4300万条。 美国司法部称，Nulled专门销售被盗登录凭证、被盗身份证件和黑客工具。如果罪名成立，Sohn将因串谋贩卖密码而面临最高5年监禁，因访问设备欺诈而面临最高10年监禁，因身份欺诈而面临最高15年监禁。

“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”，”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍，已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息，其中包括一家中国公司和一加位于德国的公司。 🚨 New #ransomware group: Vanir Group 🚨 Currently, the criminal group's list includes 3 victims: Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7 — HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施，该勒索软件团伙部署了新型恶意软件。 巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息，并在一份声明中表示，该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。 卡尔斯鲁厄市和巴登-符腾堡州的官员表示，他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。 巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙，并于8月发现了该团伙泄密网站的托管服务器，并于9月17日对其进行了查封。 “2024年8月，调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据，”他们说。 德国当局表示：“今天，犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管，并重定向到一个被屏蔽的页面。” 官员们没有回应记者的置评请求，即是否有人被捕，或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示，“通过封锁该页面，肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。” 目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面：“这个暗网网站已经被巴登-符腾堡州国家调查局查封，这是针对Vanir勒索软件团伙采取的执法行动的一部分。” “Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙，正如本站（anwangxia.com）之前报道：今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。 从此以后，该勒索软件团伙就没再活跃过。 “Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示，这是一个勒索软件即服务团伙，正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。 网络安全社区新闻网站Red Hot Cyber​​声称在7月采访了BlackEyedBastard，其中“Vanir Group”领导人阐述了该团伙的行动。

“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”，”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍，已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息，其中包括一家中国公司和一加位于德国的公司。 🚨 New #ransomware group: Vanir Group 🚨 Currently, the criminal group's list includes 3 victims: Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7 — HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施，该勒索软件团伙部署了新型恶意软件。 巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息，并在一份声明中表示，该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。 卡尔斯鲁厄市和巴登-符腾堡州的官员表示，他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。 巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙，并于8月发现了该团伙泄密网站的托管服务器，并于9月17日对其进行了查封。 “2024年8月，调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据，”他们说。 德国当局表示：“今天，犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管，并重定向到一个被屏蔽的页面。” 官员们没有回应记者的置评请求，即是否有人被捕，或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示，“通过封锁该页面，肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。” 目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面：“这个暗网网站已经被巴登-符腾堡州国家调查局查封，这是针对Vanir勒索软件团伙采取的执法行动的一部分。” “Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙，正如本站（anwangxia.com）之前报道：今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。 从此以后，该勒索软件团伙就没再活跃过。 “Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示，这是一个勒索软件即服务团伙，正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。 网络安全社区新闻网站Red Hot Cyber​​声称在7月采访了BlackEyedBastard，其中“Vanir Group”领导人阐述了该团伙的行动。