“暗网下/AWX”获悉,近日欧洲刑警组织(EUROPOL)宣布捣毁了一个大型的多发性CSAM(儿童性虐待材料)暗网网站,该网站在暗网上被称为“Kidflix”,类似于知名的流媒体服务“Netflix”,被认为是世界上最大的恋童癖平台之一。
在欧洲刑警组织的支持下,此次行动由德国巴伐利亚州刑事警察局(Bayerisches Landeskriminalamt)和巴伐利亚州网络犯罪起诉中央办公室(ZCB)牵头,全球有超过35个国家参与了此次行动的联合执法。
“Kidflix”因其CSAM网站的“独特”功能而声名狼藉,该网站由一名网络犯罪分子于2021年创建的,他从中获利颇丰,很快成为恋童癖者中最受欢迎的平台之一。该网站使用流传输,允许用户根据视频质量进行过滤,观看性虐待儿童的直播,并在购买前预览视频。此外,在暗网网站上活跃、分享内容、制作独特内容等的个人可以获得“Kidflix代币”,从而可以免费获得其他CSAM资料。此外,该暗网网站在活跃期间上传和分享了91,000个独特视频,平均每小时约有3.5个独一无二的新CSAM视频上传进来,网站上共有6288小时(262天)的CSAM视频。
欧洲刑警组织的新闻稿称:“与其他此类已知平台不同,Kidflix不仅使用户能够下载CSAM,还可以流传输视频文件。用户使用加密货币付款,随后将其转换为代币。通过上传CSAM,验证视频标题和描述以及将类别分配给视频,犯罪者可以获得代币,然后将其用于查看内容。每个视频都上传了多个版本——低、中和高质量——允许犯罪分子预览内容并支付费用以解锁更高质量的版本。”
2022年4月至2025年3月期间,全球共有180万用户登录该平台。2025年3月11日,被德国和荷兰当局查封的时候,该暗网网站的服务器里存储有约72,000多部CSAM视频,其中许多视频此前执法部门都不掌握。
通过此次行动,全球有近1400名嫌疑人被确认。到目前为止,其中79人因分享和传播儿童性虐待材料(CSAM)而被捕。一些被捕者不仅上传和观看视频,还虐待儿童。调查仍在进行中。欧洲刑警组织表示,他们将继续与其他国家的执法机构合作,追究在“Kidflix”上犯下罪行的每个人的责任。
此次行动被称为“流行动”(Operation Stream),是欧洲刑警组织专家打击儿童性剥削行动中规模最大的一次行动,也是该执法机构近年来支持的最大案件之一。
调查期间,欧洲刑警组织欧洲网络犯罪中心(EC3)的分析师通过分析数千段视频,为各国当局提供了强有力的行动支持。欧洲刑警组织的专家还对所有可用数据进行了交叉核对,并向相关国家提供了证据,以促进调查。
鉴于案件规模,欧洲刑警组织在调查和行动日期间协调信息交流的作用对案件的成功至关重要。召集合作伙伴进行跨境合作和联合行动是欧洲刑警组织的主要优先事项之一,旨在加强打击各种形式的严重国际和有组织犯罪、网络犯罪和恐怖主义。
此次行动已经取得的成果 针对该暗网网站的调查于2022年开始,打击行动从2025年3月10日开始到3月23日结束。到目前为止,已取得以下成果:
已确认1393名嫌疑人 逮捕79名犯罪嫌疑人 查获3000多件电子设备 39名儿童受到保护 已经确定的嫌疑人中有63人来自英国,其中30人已经被捕 本站(anwangxia.com)从英国媒体针对该事件的报道中得知,此次行动调查确定的全球近1400名嫌疑人中,包括63名来自英国的嫌疑人;因分享和传播儿童性虐待材料而被捕的79人中,有30人来自英国。
北爱尔兰警察局现已证实,3名英国嫌疑人来自北爱尔兰,目前已逮捕2人,并搜查了3处房产。3月19日,警方在科莱雷恩逮捕了一名26岁的男子,并从他家中缴获了2台设备。同一天,警方还逮捕了一名34岁的邓唐纳德男子,并从他家中缴获了5台设备。3月20日,警方又搜查了一名40岁的德里男子的家,并缴获了6台设备。目前,这3人均已被释放,等待进一步调查。
北爱尔兰警察局发言人表示:“由于这是一项正在进行的现场调查,北爱尔兰警察局目前无法发表进一步的评论。”除了北爱尔兰警察局外,还有其他27个警察部门获得了有关该暗网网站潜在用户的情报。
欧洲各级官员称将严惩此类针对儿童的犯罪 NCA高级经理Neil Keeping表示:“感谢我们在德国和欧洲刑警组织的执法合作伙伴,一个包含数万个儿童性虐待视频的危险网站已被关闭。NCA情报人员迅速采取行动,确定了该网站的英国用户,并向全国各地的部队提供了一套情报,以便警方逮捕嫌疑人并保护儿童的安全。从全球到地方采取这种应对措施对于我们保护儿童免遭性虐待和寻找此类内容的犯罪分子的侵害至关重要。我们将继续与国际执法伙伴合作,摧毁纯粹为了满足犯罪分子性需求而在暗网上运营的在线平台,并确保儿童免受虐待。”
欧洲刑警组织执行主任凯瑟琳·德博勒表示:“数字化推动了网络儿童性剥削的快速发展,为犯罪者提供了一个无国界的平台,让他们可以联系和引诱受害者,以及制作、存储和交换儿童性虐待材料。有些人试图将此归结为技术或网络问题——但事实并非如此。这些犯罪背后有真正的受害者,这些受害者是儿童。作为一个社会,我们必须采取行动保护我们的孩子。”
欧盟内政和移民事务专员马格努斯·布伦纳表示:“摧毁这个犯罪网络表明了欧洲刑警组织等欧盟机构提供的附加价值。这正是欧盟委员会提出加强欧洲安全战略的原因。犯罪分子跨境活动,因此我们也必须支持调查人员这样做。”
从网上到线下,欧盟正在优先开展工作 儿童性剥削(CSE)是最近发布的欧盟严重有组织犯罪威胁评估报告(EU-SOCTA)中确定的欧盟内部安全的主要威胁之一。数字化维度引发了在线CSE的快速发展,为犯罪者提供了一个无边界平台来联系和诱骗受害者,以及创建、存储和交换CSAM。这一趋势将在未来几年继续增长。
然而,网络世界并非匿名。“流行动”中确定的大多数嫌疑人都与欧洲刑警组织数据库中的记录相匹配,这证明大多数从事儿童性剥削的罪犯都是惯犯,执法部门并非不知道。
儿童性剥削是一个重大威胁,因此也是欧盟打击严重有组织犯罪的优先事项之一。自2017年以来,欧洲刑警组织一直在开展“制止虐待儿童——追踪物品”倡议,鼓励公民识别物品以帮助警方拯救受虐儿童。
应欧盟成员国和其他合作伙伴的要求,欧洲刑警组织每年两次举办受害者识别工作组,这是一项将执法部门聚集在一起以开展本地调查并识别受害者的举措。德国和澳大利亚的儿童从该项目中受益,并获得了保护。
参与国家 1.阿尔巴尼亚:阿尔巴尼亚国家警察、刑事警察局网络犯罪调查局和特别行动部队局 (Policia e Shtetit, Drejtoria për Hetimin e Krimeve Kibernetike, Drejtoria e Forcës së Posaçme Operacionale) 2.澳大利亚:澳大利亚联邦警察 (AFP) 3.奥地利:刑事情报局(Bundeskcriminalamt) 4.比利时:比利时联邦警察 (Federale Politie / Police Fédérale) 5.保加利亚:网络犯罪总局 – 内政部打击有组织犯罪总局 (Дирекция “Киберпрестъпност” – Главна дирекция “Борба с организираната престъпност”, Министерство на вътрешните работи) 6.
根据欧洲刑警组织的公告,FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站,逮捕4名嫌疑人。
现在,访问勒索软件团伙8Base的暗网泄密网站,会看到一条扣押横幅,上面写着:“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托,查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。
通过此次行动,执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心,两周前,臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕,去年8月,FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。
4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道,此次逮捕行动在泰国普吉岛进行,目标是疑似是Phobos勒索软件团伙成员,该恶意软件家族与8Base的运营有关。
周一,四名勒索软件团伙的头目(两男两女)在四个不同地点被捕,这些头目均为俄罗斯公民,他们涉嫌部署Phobos勒索软件变种8Base,向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布,但泰国网络犯罪调查局称,瑞士和美国当局已向他们发出了逮捕令。
泰国警方表示,警方在普吉岛的四个地点进行了突袭,并补充说,嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道,警方还收到了国际刑警组织的逮捕令,这四人被指控对17家瑞士公司进行了网络攻击,并使用加密货币混合服务清洗勒索来的资金。
据称,当局已缴获40多件证据,包括手机、笔记本电脑和数字钱包。与此同时,与犯罪网络相关的27台服务器被关闭。
8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动,最初规模较小,表明其处于发展阶段。到2023年初,该团伙以目前的形式出现,并迅速发展其策略。2023年5月,8Base采用了多重勒索模式,加密数据并威胁除非支付赎金,否则泄露数据。他们还推出了暗网泄密网站,用一个基于Tor网络的受害者博客来发布被盗数据。
到2023年中期,该团伙的活动急剧增加,针对各个行业的团伙,成为主要的双重勒索行为者。据称,该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外,该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。
分析师认为,8Base使用的是Phobos勒索软件的修改版本,该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中,VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。
该团伙的影响是全球性的,美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠,特别是在赎金记录和暗网基础设施方面。
此前,针对Phobos勒索软件,警方已逮捕了一系列影响深远的嫌疑人:
2024年6月,Phobos的一名俄罗斯籍管理员(Evgenii Ptitsyn)在韩国被捕,并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉,这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月,该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年,Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕,这进一步削弱了该勒索软件背后的网络。 Phobos:一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现,是一种长期存在的网络犯罪工具,经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同,Phobos依赖于对中小型企业进行大规模攻击,而这些企业通常缺乏网络安全防御来保护自己。
它的勒索软件即服务(RaaS)模式让一系列犯罪分子(从个人分支机构到8Base等结构化犯罪集团)都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动,从而进一步助长了其广泛使用。
8Base利用Phobos的基础设施开发了自己的勒索软件变种,利用其加密和交付机制来定制攻击,以达到最大效果。该组织在双重勒索策略方面尤其激进,不仅加密受害者的数据,还威胁要公布被盗信息,除非支付赎金。
欧洲刑警组织的协调作用 由于执法工作横跨多个大洲,欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来,欧洲刑警组织的欧洲网络犯罪中心(EC3)一直为调查提供支持,并:
汇集平行调查的情报,确保针对Phobos和8Base的执法机构能够汇总他们的调查结果,并有效协调逮捕行动。 组织了37场行动会议和技术冲刺,以获得关键调查线索。 提供分析、加密追踪和取证专业知识来,为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组(J-CAT)内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息,使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议,协助跨境司法合作,并对所有相关当局的未决请求提供支持。
这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持,涉及14个国家的执法机构。目前,已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局(NCA)、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos,而另一些国家则针对8Base,有几个国家同时参与了这两个行动。
欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用,使当局能够通过协调行动,击落两个勒索软件网络的关键参与者。
以下部门参与了调查:
比利时:联邦警察(Federale Politie / Police Fédérale) 捷克:捷克共和国警察(Policie České republiky) 法国:巴黎网络犯罪小组 (Brigade de lutte contre la cybercriminalité de Paris – BL2C)、巴黎法院 – 国家打击有组织犯罪司法管辖区 (Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO) 德国:巴伐利亚州刑事警察局 (Bayerisches Landescriminalamt – LKA Bayern)、巴伐利亚网络犯罪起诉中央办公室 (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) 日本:警察厅(警察庁) 波兰:中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 罗马尼亚:罗马尼亚警察 (Polişia Română) 新加坡:新加坡警察部队网络犯罪指挥部 西班牙:国民警卫队 瑞典:瑞典警察局(Polisen) 瑞士:瑞士总检察长办公室 (OAG)、联邦警察局 (fedpol) 泰国:网络犯罪调查局(CCIB) 英国:国家犯罪局(NCA) 美国:美国司法部(US DOJ)、联邦调查局(FBI – 巴尔的摩外地办事处)、美国国防部网络犯罪中心(DC3)
近期,美国司法部(DoJ)与国际执法部门合作,打击暗网网络犯罪论坛,并开展了两项行动,捣毁了与全球数百万受害者遭受攻击有关的地下市场。然而,目前尚不清楚这些努力的长期效果如何。
警方捣毁HeartSender网络犯罪市场网络 在第一次行动中,美国司法部与荷兰国家警察局协调,查获了巴基斯坦网络钓鱼团伙HeartSender使用的39个域名和相关服务器。
根据美国司法部1月31日的公告,HeartSender也被称为Saim Raza和Manipulators Team,自2020年开始运营,一直运营在线网络犯罪市场,通过地下网站网络向“跨国有组织犯罪集团”出售黑客和欺诈工具,如网络钓鱼工具包、恶意软件和垃圾邮件服务,购买这些工具的网络犯罪分子则负责全球商业电子邮件入侵(BEC)攻击和其他恶意诈骗。
司法部在声明中表示:“Saim Raza 不仅在开放的互联网上广泛传播这些工具,还通过链接到YouTube上的教学视频来向最终用户介绍如何使用这些恶意程序实施攻击,培训最终用户如何使用这些工具对付受害者,让缺乏技术犯罪专业知识的犯罪分子也能使用这些工具。”“该组织还宣传其工具‘完全无法被反垃圾邮件软件检测到’。”
司法部称,HeartSender仅在美国就给受害者造成了超过300万美元的损失,此外HeartSender还拥有全球数百万被盗的数据。
“cracked[.]io”和“nulled[.]to”暗网论坛被摧毁和消灭 在另一项行动中,美国司法部参与了“Operation Talent”行动,这是一项由欧洲刑警组织支持的国际行动,旨在摧毁Cracked(cracked[.]io)与Nulled(nulled[.]to)论坛。这些论坛与针对至少1700万美国受害者的网络犯罪有关。
在意大利、西班牙、法国、希腊、澳大利亚和罗马尼亚等多个国家的合作下,这项国际执法行动关闭了许多黑客论坛和社区,包括 cracked[.]io、nulled[.]to和其他一些论坛和社区。 这些域名以及sellix[.]io、cracked[.]to、starkRDP[.]io和mySellix[.]io都是在线论坛和社区,主要分享与黑客、破解工具、教程和泄露内容相关的信息。这些平台还讨论破解工具、黑客教程、泄露内容(例如电子书和各种操作系统的应用程序)和特定于编码语言的主题,并且它们还是恶意软件和漏洞等非法产品的市场。
据美国司法部称,Cracked论坛于2018年出现,拥有400万用户以及超过1800万条帖子,收入400万美元,并在其存在期间托管了超过2800万条网络犯罪广告。
正如其名称所示,Cracked论坛上提供的一项服务为用户提供了密码搜索工具,用于查找数百万个帐户和服务的被盗凭据。在一个案例中,据称一名跟踪者在使用该服务侵入纽约州布法罗地区的一名女性的其中一个帐户并获取敏感资料后,对其进行了性勒索和性骚扰。
Cracked论坛的工作人员在其Telegram频道上确认了此次扣押,承认该域名是在“Operation Talent”下被没收的。他们表示不确定此次行动背后的具体原因,并表示正在等待数据中心和域名托管商的官方法庭文件。他们将此次事件描述为“我们社区的悲伤之日”。
与此同时,Nulled网站域名被查封,其管理员之一、现居西班牙的阿根廷人Lucas Sohn也遭指控。Nulled自2016年成立以来,拥有500万用户,每年收入100万美元,并列出了超过4300万条。
美国司法部称,Nulled专门销售被盗登录凭证、被盗身份证件和黑客工具。如果罪名成立,Sohn将因串谋贩卖密码而面临最高5年监禁,因访问设备欺诈而面临最高10年监禁,因身份欺诈而面临最高15年监禁。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
美国联邦调查局周一宣布,经过国际联合执法调查,FBI已查封了名为Radar(又名Dispossessor)勒索软件团伙的服务器和网站。
此次联合行动由英国国家打击犯罪局、班贝格检察官办公室和巴伐利亚州刑事警察局(BLKA)合作开展。这对美国联邦调查局来说是一次罕见的胜利,它正在与全球执法机构一起努力遏制勒索软件日益严重的威胁。
美国联邦调查局俄亥俄州克利夫兰办事处发表声明称,执法部门查获了3台美国服务器、3台英国服务器、18台德国服务器、8个美国域名和1个德国域名,其中包括radar[.]tld、dispossessor[.]com、cybernewsint[.]com(虚假新闻网站)、cybertube[.]video(虚假视频网站)和dispossessor-cloud[.]com。目前访问这些网站,会显示一条来自执法部门的消息,内容为:“该网站已被查封。”
该勒索软件团伙的暗网泄密网站地址为:http://e27z5kd2rjsern2gpgukhcioysqlfquxgf7rxpvcwepxl4lfc736piyd.onion,经“暗网下/AWX”测试,目前也已无法访问。
自2023年8月成立以来,Radar/Dispossessor勒索软件团伙由名为“Brain”的头目领导,将目标锁定在世界各地各个行业的中小型企业,他们会利用受害公司系统的安全漏洞,窃取大量数据,并用加密技术扰乱公司数据。该团伙声称对美国、阿根廷、澳大利亚、比利时、巴西、洪都拉斯、印度、加拿大、克罗地亚、秘鲁、波兰、英国、阿拉伯联合酋长国和德国的数十家公司发动了攻击,其中FBI确定了至少43名受害者。
美国联邦调查局称,勒索软件团伙利用漏洞、弱密码以及账户缺乏多因素身份验证等手段入侵网络。在获得受害企业网络访问权限后,他们会窃取数据并部署勒索软件来加密公司的设备。
联邦调查局表示:“一旦犯罪分子获得系统访问权限,他们就会获得管理员权限并轻松访问文件。然后实际的勒索软件被用于加密。结果,这些公司无法再访问自己的数据,一旦公司受到攻击,如果他们没有联系犯罪分子,该团伙就会通过电子邮件或电话主动联系受害公司的其他人。这些电子邮件还包含之前被盗文件播放的视频平台链接。”这是敲诈勒索团伙常用的手段,被称为“双重敲诈”。
该网络犯罪团伙成立之初,以勒索软件团伙的身份进行活动,转载在LockBit勒索软件攻击期间窃取的旧数据,并声称自己是LockBit勒索软件团伙的附属机构。Radar/Dispossessor还转载了其他勒索软件行动的泄密信息,并试图在各种数据交易市场和黑客论坛(如BreachForums和XSS)上出售这些信息。
“Dispossessor最初宣布重新提供大约330名LockBit受害者的数据。据称这是以前可用的LockBit受害者的重新发布数据,现在托管在Dispossessor的网络上,因此不受LockBit可用性限制,”SentinelOne在4月份的一份报告中表示。
“Dispossessor似乎正在重新发布之前与其他勒索软件团伙相关的数据,例如Cl0p、Hunters International和8base。我们知道Dispossessor上列出的受害者至少有十几个之前也被其他团伙列出过。”
从2024年6月开始,威胁行为者开始利用泄露的LockBit 3.0加密器[VirusTotal]用于他们自己的加密攻击,大大扩大了他们的攻击范围。
“暗网下/AWX”看到,在过去的一年里,美国及其盟友的执法部门渗透、破坏和打击了ALPHV/Blackcat勒索软件团伙(一个部署LockerGoga、MegaCortex、HIVE和Dharma的勒索软件团伙)、Ragnar Locker勒索软件团伙、Hive勒索软件团伙以及LockBit勒索软件团伙,取得了多次重大胜利。然而,勒索软件攻击如同雨后春笋,在某些国家的庇护下,总是能够春风吹又生。
在美国和德国当局的一次联合执法行动中,数字钱包和在线加密货币交易所Cryptonator被查封,其背后运营者Roman Boss也受到指控,罪名是经营无照货币服务业务和国际洗钱。
目前访问Cryptonator主域名“cryptonator.com”,立即跳转显示扣押通知。此次联合行动由美国司法部(DoJ)、国家加密货币执法小组、美国国税局(IRS)、联邦调查局、德国联邦刑警局(BKA)和法兰克福总检察长办公室共同完成。
Cryptonator于2014年成立,用于存储加密货币并从个人或商家的钱包中兑换加密代币,有时还用于邪恶目的。当局称,Cryptonator被勒索软件团体、暗网市场和其他非法服务使用,不断收到大量黑客事件、勒索软件、诈骗、欺诈和身份盗窃计划的犯罪收益。
美国国税局表示,Cryptonator控制的比特币钱包地址处理了超过14亿美元的资金,其中与美国当局制裁的实体进行7100万美元的交易,5400万美元来自黑客攻击或被盗资金,2500万美元来自暗网市场或诈骗团伙,以及超过800万美元来自勒索软件活动,而该交易所保留了0.9%的商家交易费用。
区块链情报公司TRM确实将其中一些交易与暗网市场Hydra Market、Blender.io、Finiko、Bitzlato、Garantex、Nobitex以及一个身份不明的恐怖组织等实体联系起来,而美国政府此前曾对Hydra Market、Bitzlato、Garantex和Blender.io实施制裁。据TRM称,Cryptonator并未实施必要的反洗钱控制措施,从而使匿名或假名用户得以进行非法活动。
据称,Cryptonator只需要一个电子邮件地址和密码就可以建立用户账户,这违反了反洗钱法的“了解你的客户”(KYC)标准。
美国国税局的报告称,该网站的首席执行官罗曼·博斯(Roman Boss,又名Pikulev)被指控在知情的情况下为Cryptonator平台上的非法活动提供便利,并提供了相关证据,例如讨论添加暗网市场上流行的加密货币——门罗币(XMR),以及为非法平台提供API密钥集成。
报道称,这名居住在德国的俄罗斯公民于2013年12月使用电子邮件地址[email protected]创建了Cryptonator,曾使用过邮箱[email protected]以及[email protected]。
具体而言,2014年至2023年期间,Cryptonator钱包地址参与了超过400万笔重大交易,涉及金额数亿美元,包括:
– 暗网市场和欺诈商店,2500万美元 – 诈骗地址,3450万美元 – 高风险交易(无KYC信息),8000万美元 – 勒索软件相关地址,800万美元 – 被黑或者被盗资金,5400万美元 – 非法加密货币混合器,3400万美元 – 已知的犯罪行为者,200万美元 – 美国当局(OFAC)制裁的实体,7100万美元
近日,一个由警察机构组成的国际联盟重新恢复了对今年早些时候查获的臭名昭著的LockBit勒索软件团伙的暗网泄密网站的访问,并透露了有关该团伙的新消息。
周日,曾经被FBI控制的LockBit官方暗网网站重新出现在暗网上,并发布了新的帖子,表明当局计划在未来24小时内发布有关黑客的新信息。
这些帖子的标题包括“谁是LockBitSupp?”“我们学到了什么”、“更多LB黑客被曝光”以及“我们一直在做什么?”
本站(anwangxia.com)之前报道,今年2月,由英国国家犯罪局(NCA)、美国联邦调查局以及德国、芬兰、法国、日本等国警方组成的执法联盟宣布,他们已渗透到LockBit的暗网官方网站。该执法联盟占领了该暗网网站,并用自己的新闻稿和其他信息替换了该网站上的信息,这显然是在嘲弄和警告黑客,当局已经盯上了他们。
2月份的行动还包括在乌克兰和波兰逮捕两名被指控为LockBit成员的人;关闭了欧洲、英国和美国的34台服务器;并没收了黑客的200多个加密货币钱包。
FBI发言人萨曼莎·谢罗(Samantha Shero)表示,该局不予置评。NCA同样没有回应置评请求。
Official announcement in 24hrs #Cronos
Watch this space pic.twitter.com/ttKd58QVFL
— National Crime Agency (NCA) (@NCA_UK) May 6, 2024 LockBit首次出现于2019年,此后成为世界上最多产的勒索软件团伙之一,已净赚数百万美元的赎金。事实证明,该勒索软件团伙具有很强的韧性与生命力。即使在二月份被取缔后,该团伙又重新创建了一个新的暗网泄密网站,该网站已积极更新新的所谓受害者。
目前被查封暗网网站上的所有新帖子(除一篇外)都有倒计时,结束时间为美国东部时间5月7日星期二上午9点,这表明执法部门将在那时宣布针对LockBit的新行动。另一篇没有倒计时的帖子称该网站将在四天后关闭。
自从当局于2月份宣布针对LockBit实施所谓的“克罗诺斯行动”以来,该勒索软件团伙的领导者LockBitSupp在接受采访时声称,执法部门夸大了其对犯罪团伙的访问权限以及取缔该犯罪团伙的影响。
周日,专注于网络安全威胁情报的组织vx-underground在X上写道,他们已经与LockBit的管理人员进行了交谈,后者告诉他们警方在撒谎。
Today we spoke with Lockbit ransomware group administrative staff regarding the return of the old domain and new messages from FBI, NCA UK, and EURPOL.
Lockbit ransomware group states law enforcement is lying. Lockbit also said and quote: "I don't understand why they're…
包括美国联邦调查局(FBI)和英国国家犯罪侦查局(NCA)在内的国际执法机构联盟已经扰乱了多产的LockBit勒索软件团伙的运作。
LockBit团伙的暗网泄露网站——该团伙在此公开列出了受害者名单,并威胁称,除非支付赎金,否则将泄露其被盗的数据——周一已被执法通知所取代。
英国国家犯罪侦查局发言人海蒂·哈芬里希特 (Hattie Hafenrichter)表示,“由于国际执法行动,LockBit的勒索服务已中断。” 被关闭的泄密网站上的一条消息证实,该网站“目前由英国国家犯罪侦查局控制,并与联邦调查局和国际执法工作组‘克罗诺斯行动’(Operation Cronos)密切合作。”
目前,该暗网网站现在拥有一系列暴露 LockBit 能力和操作的信息,包括后端泄露以及有关 LockBit 所谓头目(称为 LockBitSupp)的详细信息。
”克罗诺斯行动“(Operation Cronos)是一个由NCA领导的特别工作组,并由欧洲刑警组织(Europol)和欧洲司法组织(Eurojust)在欧洲协调。它还涉及来自美国、法国、日本、瑞士、加拿大、澳大利亚、瑞典、荷兰、芬兰和德国的其他国际警察组织。
欧洲刑警组织在周二的一份声明中证实,长达数月的行动“已经导致LockBit的主要平台和其他关键基础设施遭到破坏,从而使他们的犯罪活动难以开展”。其中包括关闭荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务器,并扣押200多个加密货币钱包。目前尚不清楚这些钱包中存储了多少加密货币。
另外,美国司法部对两名俄罗斯公民 Artur Sungatov 和 Ivan Gennadievich Kondratiev 提起了起诉,指控他们参与了LockBit攻击。在法国司法当局的要求下,波兰和乌克兰也逮捕了两名被指控的LockBit参与者。
在周一被取缔之前,LockBit在其暗网泄密网站上声称,它“位于荷兰,完全不关心政治,只对金钱感兴趣”。
作为“克罗诺斯行动”的一部分,执法机构表示,他们已从被扣押的LockBit基础设施中获取了解密密钥,以帮助勒索软件团伙的受害者重新获得数据访问权限。
自2019年底首次以勒索软件即服务 (RaaS) 形式出现以来,LockBit已成为世界上最猖獗的网络犯罪团伙之一。据美国司法部(DOJ)称,LockBit已被用于针对美国和全球受害者系统的约2000起勒索软件攻击,该团伙已收到超过1.2亿美元的赎金。
总部位于英国的网络安全公司NCC Group威胁情报主管马特·赫尔(Matt Hull)告诉 TechCrunch,该公司仅在2023年就记录了1039名LockBit受害者,“占我们全年发现的所有勒索软件受害者的22%”。
LockBit及其附属机构声称对黑客攻击世界上一些最大的组织负责。该团伙去年声称对航空航天巨头波音公司、芯片制造商台积电、英国核潜艇基地数据和英国邮政巨头皇家邮政的网络攻击负责。近几个月来,LockBit团伙声称对佐治亚州富尔顿县的勒索软件攻击负责,该攻击导致该县关键服务中断数周,LockBit还声称对针对印度国有航空航天研究实验室的网络攻击负责。
周一的行动是一系列针对勒索软件团伙的执法行动中的最新行动。去年12月,一组国际执法机构宣布他们查获了臭名昭著的勒索软件团伙 ALPHV(即 BlackCat)的暗网泄露网站,该团伙造成了许多知名受害者,其中包括新闻分享网站Reddit、医疗保健公司诺顿和英国巴茨健康NHS信托基金会(Barts Health NHS Trust)。
一个国际执法机构小组查封了臭名昭著的勒索软件团伙 ALPHV(即 BlackCat)的暗网泄密网站。该勒索软件团伙暗网泄密网站上的一条消息现在写道:“联邦调查局查封了该网站,作为针对 ALPHV Blackcat 勒索软件团伙采取的协调执法行动的一部分。”
据splash报道,此次执法行动还涉及来自英国、丹麦、德国、西班牙和澳大利亚的执法机构。
在后来确认此次破坏行动的声明中,美国司法部表示,由联邦调查局(FBI)领导的国际打击行动使美国当局能够得以进入该勒索软件团伙的计算机,并查封 ALPHV 运营的“多个网站”。
FBI 还发布了一款解密工具,已经帮助了 500 多名遭受 ALPHV 勒索软件攻击的受害者恢复了系统。 (联邦调查局称,它与美国的数十名受害者合作,使他们免于支付总计约 6800 万美元的赎金要求。)
美国政府的声明中称,ALPHV 攻击并破坏了全球 1000 多名受害者的网络,赚取了数亿美元。据司法部称,该团伙的目标是美国的关键基础设施,包括政府设施、紧急服务、国防工业基地公司、关键制造业、医疗保健和公共卫生设施,以及其他公司、学校和政府实体。
根据美国政府的搜查令,联邦调查局(FBI)称,它与一个与勒索软件团伙关系密切的“秘密线人”进行了接触,该线人向探员提供了访问 ALPHV/BlackCat 用于管理该团伙受害者的附属面板的凭证。
美国国务院此前表示,将奖励那些提供“有关 Blackcat、其附属机构或活动”信息的人们。
美国副司法部长丽莎·莫纳科(Lisa Monaco)在讲话中表示:“在瓦解 BlackCat 勒索软件团伙的过程中,司法部再次对黑客进行了攻击。” “通过联邦调查局向全球数百名勒索软件受害者提供的解密工具,企业和学校能够重新开放,医疗保健和紧急服务得以恢复在线。我们将继续优先考虑处理破坏事件,并将受害者置于我们摧毁助长网络犯罪生态系统的战略的中心。”
欧洲刑警组织(Europol)发言人伊娜·米哈伊洛娃(Ina Mihaylova)证实该机构参与了此次行动,但拒绝进一步置评。
ALPHV/BlackCat 勒索软件团伙是近年来最活跃、最具破坏性的勒索软件团伙之一。ALPHV 被认为是现已解散的受制裁 REvil 黑客组织的继承者,它声称已经入侵了许多知名的受害者,包括新闻分享网站 Reddit、医疗保健公司 Norton 和英国的 Barts Health NHS Trust。
近几个月来,该勒索软件团伙的策略变得越来越激进。 11 月,ALPHV 向美国证券交易委员会 (SEC) 首次提出此类投诉,指控数字借贷服务提供商 MeridianLink 未能披露该团伙所称的“泄露客户数据和运营信息的重大违规行为”。