暗网犯罪

根据近期发布的一项研究，暗网的犯罪分子创建了地下法院系统，用于解决涉及付款失败、产品问题和服务虚假陈述的纠纷。 威胁情报公司Analyst1的研究人员最近分析了暗网中几个主要网络犯罪论坛的运作情况，发现其中至少有两个论坛拥有非正式的法院系统，犯罪分子可以在那里提出申诉并解决与同行的争端。Analyst1的研究表明，每天都有数十起来自暗网的案件发布到这些法院，等待论坛管理人员解决纠纷。 网络安全公司Analyst1的首席安全策略师、该研究报告的作者Jon DiMaggio表示，这个非官方的司法系统旨在为那些认为自己被骗的犯罪分子讨要说法。 法院主要在暗网的俄语在线论坛上开庭，暗网是谷歌等传统搜索引擎无法访问的加密网络。在类似于在线留言论坛Reddit的网站上，只有受信任的人员可以看到案件，一般会持续一个星期。 一个典型的案件涉及一个勒索软件集团，该集团被指控通过不支付服务费或通过出售对目标公司在线基础设施的访问权来欺骗黑客，而该基础设施并不像声称的那样脆弱。一个匿名的论坛版主充当法官，听取投诉，要求提供聊天记录和付款信息等证据，然后作出裁决。在某些情况下，他们可能会涉及裁决赔偿金，这些赔偿金一般通过论坛的支付系统转移。 DiMaggio说，这些案件进展很快——开放和关闭，经常在一周之内，你通常会看到整个过程完成。有时会要求巨额赔偿，最高可达100万美元，但很少全额赔偿。赔偿金平均低于2万美元。在一个特定的论坛上，他注意到每月有三到六个与勒索软件有关的案件。 DiMaggio指出，勒索软件和其他黑客组织资助在线司法论坛，使其犯罪伙伴看起来更值得信赖。如果黑客看到某个勒索软件集团通过法院系统支付赔偿金，他们也可能相信该集团更值得信赖。当他们想要雇用黑客时，他们希望最好的黑客为他们工作，而在勒索软件中存在着大量的竞争。 最近几个月，随着执法部门越来越多地宣传勒索软件攻击，大多数网络犯罪论坛已经禁止了所有与勒索软件有关的话题、交易和仲裁。在线司法论坛告诉当事人在提起和讨论他们的案件时不要使用“勒索软件”一词​​。执法部门在网上查找这些案件变得更加困难。 虽然勒索软件法庭相对较新，但他们中的大多数人都在已经存在多年的俄罗斯黑客论坛上开会。其他国家的暗网世界里似乎不存在类似的法庭，这些国家的勒索软件社区要小得多。 虽然公司在阻止勒索软件法庭方面无能为力，但企业应该知道它们的存在。就像在真实的法律案件中一样，在黑暗法庭的“发现”过程中，有关公司的泄露信息可能会出现在网上。 Analyst1统计了600多个与提交到这些法庭的案件有关的主题。这些案件的争议金额通常从几百美元到几千美元不等，但也有少数案件的争议金额要高得多。例如，2021年4月，一家隶属于Conti勒索软件集团的运营商和渗透测试机构被起诉，要求赔偿200万美元，因为他们没有履行涉及黑客攻击和加密美国学校系统数据的协议。经过一个半月的“审判”程序，该案以有利于两个Conti附属公司的结果告终。但在许多其他情况下，提出争议的罪犯赢了。 Analyst1发现，威胁行为者可以出于各种原因相互提起诉讼。Analyst1举了一个例子，一个威胁行为者可能从一个访问代理处购买了一个被破坏的网络的访问权，但发现它之前已经被卖给了另一个威胁行为者。在这种情况下，威胁行为者会在一个专门的子论坛（通常名为“法庭”或“仲裁”）上提供事件的细节，从而对经纪人发起行动。 在这里，“原告”将提供索赔的详细信息，例如经纪人的昵称、他们在Jabber和Telegram等服务上的联系信息的链接，以及包括聊天记录、屏幕截图和其他涉及涉嫌违规交易在内的证据。然后为该案件指派一名仲裁员，审查细节并听取被指控的违规者的反诉。黑客法庭给予每个论坛成员参与这一过程的权利，但只有仲裁员做出最终决定。 当决定有利于原告时，“被告”有一定的时间来弥补，否则将面临被禁止在论坛上进行任何未来活动的前景。通常情况下，成熟的网络犯罪运营商会将比特币存入一个托管账户，作为他们支付服务能力的证明。当争端以对他们有利的方式解决时，威胁行为者就会从这个账户中得到报酬。 在大型地下论坛中运作的威胁参与者通常会迅速遵守地下法庭的裁决，因为他们想保护自己的声誉。 DiMaggio说,犯罪分子努力在这些论坛上建立自己的声誉，这些论坛是勒索软件附属机构招募的地方，也是恶意软件销售、漏洞和利用的地方，甚至还提供黑客服务。失去信任或被禁止进入一个论坛，会对威胁行为者在网络地下运作的能力产生巨大的负面影响。 Analyst1表示，在某些极端情况下，威胁行为者会暴露欺骗他们的网络犯罪分子的真实身份——包括实际地址、社交媒体资料和电话号码。 Huntress的高级安全研究员John Hammond说，几乎每个网络犯罪论坛或社区都有一种司法系统，或者是一个“人民法院”来处理罪犯之间的纠纷。这是一种奇怪的体育精神或行为准则，黑客、小偷和诈骗者不应该相互冲突。通常处理纠纷的仲裁者会根据原告提出的证据，以及论坛上更广泛的社区的一般意见来决定判决。如果被判有罪，被告可能会被禁止进入社区，被放在公开的耻辱墙上，并在其他地下集团中分享他们的不良声誉。

在韩国，黑客通过访问家庭安全摄像头和其他“智能”设备，在暗网上出售人们在家里裸体和发生性行为的视频。 IT Chosun网站在本月早些时候首次报道了重大安全漏洞，该网站发现这些私密图片在一个黑客论坛上以每个视频0.1比特币（约合5700美元）的价格出售。 韩国各地的许多新公寓都配备了与互联网连接的智能家居功能，如墙板安全摄像头、灯光、联网冰箱和洗衣机。 IT Chosun发布的英文黑客论坛的一张截图显示了一系列缩略图预览图像，似乎是在一个公寓内的人，以及一个Protonmail联系地址。 论坛的帖子写道：“我们入侵了韩国的大部分公寓，视频是从公寓的智能家居设备中提取的。如果您有兴趣，请使用电子邮件联系……” 据IT Chosun报道，黑客上传的数十张预览图片包括男女裸照，甚至还有受害者发生性行为的照片。 当记者直接联系黑客，询问他们是否真的入侵了“韩国所有公寓”时，黑客回复了一份视频列表，称“选择你想要的公寓”。 据报道，该名单包括韩国各地数百个公寓大楼，包括首都首尔和受欢迎的济州岛度假胜地，这表明数以万计的韩国人在不知不觉中受到影响。 韩国警方已展开调查，政府表示正在审查网络安全法，并加强所谓“物联网”设备的防火墙准则。 “这一事件引起了公众的关注，因为墙板设备，而不是家用电脑或手机被黑，家庭隐私被广泛侵犯。”科学和技术部网络安全副主任金南承告诉《南华早报》。 “它还强调了用户避免使用容易猜测的密码、定期下载安全补丁更新以及使用政府认可的具有坚固安全性产品的重要性。” 韩国表示，它将迫使建筑公司断开每间公寓的智能家居系统的链接，以防止黑客通过单一的漏洞进入整栋楼的设备，这似乎已经成为事实。 过去，人们对智能家居的脆弱性表示担忧。2018年，韩国《釜山日报》雇佣的两名计算机科学学生成功入侵了一栋新建住宅楼的智能系统，获得了对内部摄像头的访问权。 该国此前也经历过类似的数字犯罪。2019年，警方捣毁了一个间谍团伙，该团伙利用隐藏的摄像头秘密拍摄了酒店房间里的数百名客人，并向人们收取观看直播镜头的费用。 今年早些时候，人权观察组织的一份报告称，韩国作为世界上联系最紧密的国家，催生了一种流行的“数字性犯罪”，即男子在未经同意的情况下使用微型间谍相机拍摄妇女。 报告作者希瑟-巴尔（Heather Barr）告诉《泰晤士报》：“数字性犯罪在韩国变得如此普遍，如此令人恐惧，它们正在影响所有妇女和女孩的生活质量。” “妇女和女孩告诉我们，她们避免使用公共厕所，并对在公共场所甚至家中隐藏的摄像头感到焦虑。数量惊人的数字性犯罪的幸存者说他们曾考虑过自杀。”

经过验证的卖家宣传完整的德国疫苗接种证书。图：奥尔堡大学 新冠疫情爆发以来，暗网上一直有疫苗接种证书出售。但之前暗网上出现的疫苗证书都是伪造的，无法通过各国政府的验证，最近德国学者发现了可以通过欧盟认证的有效疫苗证书。 据信，该团伙带来了至少42.5万欧元（36万英镑）的收入，并且可能进入了政府系统，或者获得了国家卫生当局的加密密钥。 根据一项新研究，具有“高级伪造能力”的犯罪分子正在暗网上出售有效的疫苗证书，这表明他们可能已经破坏了政府系统。 奥尔堡大学网络安全小组的学者警告说，在暗网里的地下数字市场上的数十个COVID-19疫苗证书列表中，存在许多骗局。 未接种疫苗的人能够在被认为没有新型冠状病毒的环境中与其他人打交道，这可能使新型冠状病毒得以传播，并有可能发展成对疫苗有抵抗力的变体。 尽管研究人员发现了广泛的未经核实的列表，并怀疑是骗局，但他们表示，根据尚未经过同行评审的研究预印本，他们设法“发现了一些我们能够验证的证书”。. 这引发了这样的风险：“恶意个人[可以]访问政府系统，他们可以随意操纵”，或者国家卫生组织用来验证证书的加密密钥已经泄露。 最让研究人员担忧的清单是在欧盟25个国家/地区注册的广告证书，其中的样本似乎在任何欧盟国家/地区使用都有效。 单张证书的售价为250欧元（210英镑），使用比特币付款，但大量订单可享受折扣。 这家特殊的供应商商店“是唯一一个如此详细地阐述其服务运作的平台”，并详细说明了用于检查疫苗证书上二维码的技术机制。 研究人员写道：“为了证明所售生成的证书是有效的，该网站的主页还包含一个虚构个人的二维码样本，我们使用两个国家COVID-19移动应用程序对其进行了验证。” 该团伙上传的一段视频还让研究人员简要了解了他们的后台管理面板，当时显示他们已经完成了1700多笔销售——收入超过42.5万欧元（36万英镑）。 “这个供应商商店背后的个人对围绕着证书的发行和验证的系统有先进的理解，再加上他们网页的质量、对描述他们业务运作的整体细节的关注，以及显示的验证用例，提高了服务合法的可能性。”学者写道。 “然而，这一事实引出了一个问题，即这些卖家如何成功渗透到这么多国家的欧盟COVID-19证书系统。不幸的是，他们没有透露这些信息，因为泄露了也就意味着他们的业务结束。”他们补充说。

尽管国际执法机构称赞他们通过“Dark HunTor”行动成功打击了暗网上的一些受欢迎的非法交易市场，但剩余市场的经营者称，打击行动对他们的业务没有什么影响。 美国司法部与欧洲刑警组织合作开展的“Dark HunTor”行动于10月下旬成为国际头条新闻，在全球范围内逮捕了150人，缴获了武器和毒品以及超过3100万美元的非法资金。 德国和意大利当局关闭了暗网上的几个受欢迎的市场，包括DarkMarket、Berlusconi Market和DeepSea Market。没收这些市场的服务器使执法机构能够追踪这些平台上的更多供应商和买家。 然而，尽管这些被打击的市场已经关闭，但由于用户选择轻松逃到其他仍可进入的市场，暗网的交易市场空间似乎继续蓬勃发展。 在“Dread论坛“的页面上，顶级暗网市场被列为“超级列表”，共有12个市场似乎继续照常营业。 几个市场的管理员同意分享他们对“Dark HunTor”行动背景下对暗网犯罪进行打击造成影响的看法，他们中的大多数认为，打击不会阻止他们从继续经营他们的市场，因为他们看到其他管理员被逮捕是人为错误的结果。 Dread论坛上最受欢迎的版块之一叫做OpSec，意思是运营安全。该版块充满了详细的教程，介绍如何使用匿名服务，（如Tor、PGP密钥）和可移动操作系统（如Tails）来隐藏用户身份的详细教程。 威廉-吉布森（William Gibson）是Versus Market的管理员，他只希望用假名来表明身份，他说他不相信执法机构在追踪暗网的市场经营者方面找到了新方法。 “完全没有。他们仍然试图通过跟踪资金和传统的警察工作来获得供应商和经营者，例如通过反复购买供应商的包裹并追踪包裹的来源来缩小供应商从哪里发送。他们不太可能使用Tor中的0days来消除运营商/供应商的匿名性，也不可能使用任何其他不为我们所知的复杂技术。当然，市场在建立他们的服务器时可能会犯错误，不小心泄露他们的IP，这使得执法部门很容易找到他们。虽然这种事情发生了，但我猜测大多数供应商和市场经营者都被抓住了，因为执法部门跟着钱走。这是一个失败点，即使是最复杂的匿名在线活动也可以与现实生活中的身份联系起来，这也是执法部门找到其目标的最佳机会。”吉布森称。 尽管如此，吉布森指出，“Dark HunTor”行动最近的成功表明，世界各地的执法机构开始更好地了解暗网市场的运作情况。 “执法部门现在有更好的资金，更有能力，更有经验来调查这种在线活动。几年前，他们不知道Tor或加密货币是什么，也不知道市场是如何运作的。很长一段时间，他们低估了暗网市场在国际毒品交易中的作用，虽然与线下交易相比，暗网市场仍然很小，但由于比线下交易有许多优势，它变得越来越大了。”他说。 Guardia di Finanza在意大利使用的新工具之一是可以追踪比特币交易的分析平台。 作为回应，匿名市场背后的团队开始提供一项名为Antinalysis的新服务，这是一种公开可用的区块链分析工具，允许用户检查他们的比特币地址是否已成为当局的目标。 “我们认为自己是倡导者，我们的团队还提供Antinalysis和Sector.City（一种隐私邮件服务），我们希望它们能帮助用户保护他们的自由、匿名和隐私。”一位匿名市场的管理员称，他自称为Pharoah。 来自Versus Market的吉布森认为，只要对此类产品的需求仍然很高，执法机构的努力就只能变成一场猫捉老鼠的游戏。 “归根结底，每一次打击只会创造更多的市场。他们每关闭一个市场，就会有一些新的市场出现。这是一场他们赢不了的战斗，看看现在有多少市场。上次我查了一下，有20多个新的市场雨后春笋般冒出来。”他说。 运营者们还对暗网可以起到的作用提出了不同的看法。 “在一个完全不同的方面，我想提及的是，暗网并不全是关于毒品和网络犯罪的，即使它乍一看可能是这样。有很多人只是觉得在暗网上谈论某些事情会更好，因为他们在其他地方可以由于一堆不同的原因不能这样做。暗网也是一个无论您是谁、您的性别、您的肤色或您相信什么想象中的朋友都无关紧要的地方。在这个高度社交化的网络世界里，暗网是一个只做你自己的地方。”他说。 他补充说，在许多方面，暗网反映了互联网早期时代的情况，而之后出现的社交媒体和用户数据货币化“摧毁了一切”，使互联网成为今天的样子。

你真的可以在暗网上购买手机追踪服务吗？ 信号系统7（SS7）移动电话协议漏洞的存在是安全研究人员在2016年预警的，并且仅用了一年时间就观察到了第一次利用这个漏洞的攻击。 在接下来的几年里，政府利用SS7漏洞来跟踪国外的个人，黑客利用它们来劫持Telegram和电子邮件帐户。 除了短信，SS7的安全漏洞可以被利用来拦截或转发电话、2FA代码、定位设备、欺骗短信等等。 但是，这些黑客服务是否像传闻中的那样丰富，还是暗网中充满了骗子，只是在等待骗取有志于从事间谍活动的人的钱财？ 可用性调查 SOS Intelligence的分析师在暗网上搜索了SS7漏洞利用服务的供应商，发现了84个声称提供这些服务的拥有自主洋葱域名的网站。 在将结果缩小到那些似乎仍在活动的域名后，他们最终只找到了以下四个： SS7 Exploiter SS7 ONLINE Exploiter SS7 Hack Dark Fox Market 这四个网站都声称提供短信拦截和欺骗，位置跟踪，以及呼叫拦截和重定向。 通过分析这些网站的网络拓扑数据，研究人员发现，其中一些网站相对孤立，没有很多入站链接，也没发布推广广告。 这并不能很好地表明网站的可靠性和可信度，通常是最近建立的诈骗平台的表现。 此外，SS7 Hack网站似乎是从2021年创建的明网网站复制而来，因此看起来更像是一个骗局。 在尝试使用其SS7漏洞利用工具包，希望实现API镜像功能时，研究人员没有得到任何结果，因为该服务处于离线状态。 在每个目标电话号码收费180美元的Dark Fox Market平台上，研究人员发现了俄罗斯用户2016年在YouTube上上传的相同演示视频。 这些很可能是从YouTube上偷来的，与Dark Fox Market平台没有任何关系，该平台无论如何都没有提供可用的SS7漏洞利用服务。 尽管如此，通过分析这些平台提供的加密货币钱包，SOS Intelligence发现，骗子们正在赚取大量的钱。 隐藏的真正的SS7漏洞利用服务 上述情况并不意味着暗网上没有SS7漏洞利用服务，而是真正的SS7漏洞利用服务隐藏在会员制黑客论坛和World Market等暗网交易市场的背后。 正如暗网通常的情况一样，人们在“表面”上找到的第一个搜索结果通常会导致诈骗。 人们必须深入挖掘才能获得真正的交易，但这永远不会消除仍然落入骗局的机会。 当然，还有厉害的威胁行为者可以通过附属机构或他们自己的操作访问手机数据，因此他们不需要查找暗网上SS7漏洞利用服务的提供商。

加密货币的使用 印度网络专家表示，激进组织在暗网中使用加密货币进行恐怖活动和贩毒，对国家安全构成严重威胁，对印度的安全机构也是一个巨大的挑战。 加密货币已成为最先进的恐怖融资方法，当它在TOR、Freenet、Zeronet和Perfect dark等暗网上进行交易时，安全机构就无法追踪它。 洗钱者、网络犯罪分子和恐怖分子发现比特币、门罗币、瑞波币和Zcash等加密货币非常方便，因为它们具有匿名性和不可追踪性。 暗网是互联网领域的一个深层可变链接，人们无法找到用户的身份，因为路由器浏览器对用户的身份保持完全匿名。网络专家Pawan Duggal说，由于端到端加密，它使用户与谁互动都是匿名的。 他补充说，在这两种情况下，匿名都给印度的执法机构带来了真正的挑战，它在暗网上创造了一个独特的“网络犯罪经济”，现在越来越多地提供各种网络犯罪和服务。 Duggal进一步说，安全机构需要接受培训，以渗透这些在线系统，追踪资金来源和目的，以便采取预防措施。 禁毒局（NCB）的一名高级官员表示，暗网平台的使用不仅限于贩毒或毒品交易，而且最近被世界各地的许多恐怖组织使用。 NCB一直在不断打击选择暗网的毒品贩子，并与国际机构合作，控制这一威胁。 暗网还提供自毁的邮箱和代理服务器，人们可以使用假身份证。Duggal进一步表示，这无疑使证明某项指控变得困难，需要对《信息技术法》和《证据法》进行修订。 TOR软件、Freenet、Zeronet、Perfect dark是一些流行的暗网浏览器，这些都只能通过专门的软件访问。 TOR是最受欢迎的，每天有超过两百万的用户，它使用洋葱路由方法，这是一种分层技术，通过建立的层路由流量来隐藏用户的身份。 尽管如此，深网的加密和隐藏身份，网络专家表示，执法机构现在能够通过社工方法（在暗网上冒充卖家或买家）渗透到这些交易中。 反恐专家Rituraj Mate说：“在大多数情况下，加密货币被用于毒品贸易和洗钱，恐怖分子不会使用这种虚拟货币，因为机构可以追踪它。” 他还表示，一旦加密货币在印度合法化，恐怖组织就可以使用它。一旦获得官方许可，极端分子可能会使用某人的账户来资助恐怖活动。 就暗网而言，Mate还表示，像TOR这样的浏览器也很容易上手，美国中央情报局（CIA）掌握了渗透暗网组织和收集信息、证据以起诉网络犯罪的方法。他补充说，国际刑警组织还为世界各地的执法机构启动了有关打击暗网犯罪的培训计划。 Mate进一步补充说，印度执法机构与中央情报局、联邦调查局和国际刑警组织等国际机构建立了合作关系，定期交换信息，而印度执法机构也有能力跟踪这些暗网上用户的身份。 11月13日，总理纳伦德拉·莫迪(Narendra Modi)主持的高级别会议与所有利益相关者全面讨论了这个问题，据悉，政府正酝酿在议会冬季会议上提出一项法案，以规范印度的加密货币交易。 会上，官员们表示，印度执法机构在渗透到暗网方面的技术和技能都非常成熟，并且他们已经成功地追踪了许多毒品交易案件。 一位不愿透露姓名的高级官员说：“我们有能力在暗网上追踪和抓捕犯罪分子，并有足够的人力来处理这个问题，但我们需要增加我们的基础设施，如高配置服务器和更好地协调与外国执法机构共享信息。”

数据是暗网上的热门商品，人们在暗网上买卖敏感信息，其中大部分信息是通过网络漏洞窃取的。用户名、密码、帐号、财务记录、信用卡详细信息、医疗记录——所有这些都可供获取。最近有两批数据在暗网出售，详情如下： 数据一：超过50万莫斯科人购买假疫苗证书的个人数据现已在暗网出售 暗网论坛和电报频道已开始销售包含购买假COVID-19疫苗接种证书和伪造PCR检测结果的俄罗斯人个人信息的数据库。Kommersant的记者采访了一位供应商，该供应商提出以120美元的价格向他们出售一个包1,000行信息的数据库。该文件包含人们的护照号码、保险单号码、电话号码、家庭住址以及有关他们何时收到伪造文件的信息。 运营电报频道“上帝之眼”的程序员叶夫根尼·安提波夫（Evgeny Antipov）告诉生意人报，他跟踪的最大的数据库包含超过50万名莫斯科居民的个人信息。名单上一个人的信息价格大约为35卢布（0.50美元）。 Antipov表示，这些数据似乎是由出售这些虚假医疗记录的同一服务机构收集的。另一位暗网专家Ashot Oganesyan告诉记者，诈骗者可能试图通过出售自己客户的数据来增加收入。他说，这些团体也有可能通过勒索客户来赚取额外利润。 在俄罗斯购买伪造的疫苗接种证书是一种重罪，最高可判处一年监禁。 数据二：Robinhood的用户数据在暗网上出售 据Telegram频道”Data Leak“报道，一名用户在暗网发布广告，出售Robinhood在线经纪公司客户的个人数据。卖家提供了500万个电子邮件地址以及200万名Robinhood用户的全名名单。另一方面，必须指出的是，310名用户的扩展数据，包括姓名、出生日期和邮政编码，还没有出售。 Robinhood最近报告称，其部分用户的个人数据于去年11月3日泄露：“一个未经授权的第三方获得了我们一部分客户的有限的个人信息。” 据该公司称，攻击者对一名支持员工使用了社会工程方法，并获得了对某些服务系统的访问权限。 在网络攻击之后，一些监控工具可以提醒您哪些被盗凭据在暗网上被泄露，让您可以快速开始限制攻击者可以造成的损害。以下是如何使用两个免费监控工具——Google的密码检查和Mozilla的Firefox Monitor——查看您的哪些电子邮件地址和密码被泄露，以便您采取行动。

根据欧洲刑警组织官方网站消息，11月4日，罗马尼亚当局逮捕了两名涉嫌部署Sodinokibi/REvil勒索软件的网络攻击者。据称，他们对5000次感染负责，总共勒索了500万欧元的赎金。自2021年2月以来，执法当局已经逮捕了Sodinokibi/REvil的其他三个分支机构和两个与GandCrab有关的嫌疑人。这些是GoldDust行动的部分结果，该行动由17个国家、欧洲刑警组织、欧洲司法组织和国际刑警组织共同开展。所有这些逮捕行动都是在国际联合执法工作之后进行的，包括识别、窃听和扣押Sodinokibi/REvil勒索软件家族使用的一些基础设施，该家族被视为GandCrab的继承者。 欧洲成立反REvil团队 自2019年以来，多家大型国际公司面临严重的网络攻击，这些攻击部署了Sodinokibi/REvil勒索软件。法国、德国、罗马尼亚、欧洲刑警组织和欧洲司法组织于2021年5月成立了一个联合调查小组，加强了针对该勒索软件的行动。Bitdefender与执法部门合作，在No More Ransom网站上提供了一个工具，可以帮助Sodinokibi/REvil的受害者恢复他们的文件，只要是2021年7月前的攻击。10月初，在美国发出国际逮捕令后，Sodinokibi/REvil的一个分支机构在波兰边境被捕。这名乌克兰人被怀疑实施了Kaseya攻击，该攻击影响了多达1500家下游企业，Sodinokibi/REvil向其索要约7000万欧元的赎金。此外，2021年2月、4月和10月，韩国当局逮捕了涉及GandCrab和Sodinokibi/REvil勒索软件家族的三名关联方，涉及超过1500多名受害者。11月4日，科威特当局逮捕了另一名GandGrab关联公司，这意味着自2021年2月以来，共有7名与这两个勒索软件家族有关的嫌疑人被捕。他们涉嫌总共攻击了约7000名受害者。 Golddust与GandCrab的联系 自2018年以来，欧洲刑警组织一直支持一项由罗马尼亚牵头的调查，该调查针对GandCrab勒索软件家族，并涉及英国和美国等多个国家的执法部门。GandCrab是全球最多产的勒索软件家族之一，全球有超过100万受害者。这些联合执法努力的结果是，通过No More Ransom项目发布了三种解密工具，迄今已挽救了49000多个系统和避免了超过6000万欧元的未付赎金。调查还着眼于GandCrab的附属机构，其中一些被认为已经转向Sodinokibi/REvil。GoldDust行动也是根据之前针对GandCrab的这一调查线索建立起来的。 无需赎金即可解密 事实证明，网络安全公司、部门的支持对于最大程度地减少勒索软件攻击造成的损害至关重要，勒索软件攻击仍然是最大的网络犯罪威胁。许多合作伙伴已经通过No More Ransom网站为多个勒索软件家族提供了解密工具。Bitdefender积极支持这项调查，在整个调查过程中提供了关键的技术见解，同时为这两个高产的勒索软件家族提供解密工具，帮助受害者恢复他们的文件。KPN和McAfee Enterprises是另外给予支持的合作伙伴，他们也通过向执法部门提供技术专业知识来支持此次调查。 目前，No More Ransom拥有GandCrab（V1、V4和V5到V5.2版本）和Sodinokibi/REvil的解密工具。Sodinokibi/REvil解密工具帮助1400多家公司解密了他们的网络，为他们节省了近4.75亿欧元的潜在损失。为这两个勒索软件家族提供的工具实现了50000多次解密，网络犯罪分子为此要求支付约5.2亿欧元的赎金。 欧洲刑警组织的支持 欧洲刑警组织促进了信息交流，支持了GoldDust行动的协调，并提供了业务作分析支持，以及加密货币、恶意软件和取证分析。在行动日期间，欧洲刑警组织向每个地点部署了专家，并启动了一个虚拟指挥所来协调地面活动。国际合作使欧洲刑警组织能够简化与其他欧盟国家的受害者缓解工作。这些活动防止私营公司成为Sodinokibi/REvil勒索软件的受害者。 欧洲刑警组织的联合网络犯罪行动特别工作组(J-CAT)支持了这次行动。这个常设小组由来自不同国家的网络联络官组成，他们在同一个办公室开展备受瞩目的网络犯罪调查。 *参与国家：澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国、美国 *参与组织：欧洲刑警组织、欧洲司法组织和国际刑警组织

根据美国缉毒局官方网站的消息，上周，在布鲁克林的联邦法院，乔安娜·德·阿尔巴(Joanna De Alba)被美国地方法官多拉·伊里扎里(Dora L. Irizarry)判处96个月监禁，罪名是在“暗网上分销并意图分销非法毒品”。De Alba在暗网上分发了一系列非法毒品，包括芬太尼、海洛因、摇头丸、可卡因、甲基苯丙胺、羟考酮和美沙酮，以换取比特币和其他加密货币。De Alba于2021年4月认罪。 纽约东区联邦检察官Breon Peace和纽约分部缉毒局特别主管Ray Donovan宣布了这一判决。 “今天对De Alba判处的监禁表明，她秘密使用暗网分发芬太尼、海洛因和羟考酮等潜在致命药物以换取加密货币是失败的。”美国检察官Peace说，“这项调查和严厉的起诉表明，我们不会让暗网成为毒贩的避风港。” “这一判决表明，贩毒者在暗网交易中并非不可触及。”缉毒局特工雷·多诺万(Ray Donovan)表示。“De Alba试图通过匿名隐藏，将芬太尼、海洛因和其他危险药物推入我们许多社区的家中，成为父母最可怕的噩梦。我赞扬DEA网络调查组纽约分部和美国纽约东区检察官办公室在整个调查过程中所做的值得称道的工作。” 互联网在“暗网”上包含麻醉品和其他违禁品的在线市场，这是互联网的一部分，位于传统互联网浏览器无法触及的范围内，只能通过旨在隐藏用户身份的网络访问。“华尔街市场”是一个全球暗网市场，要求其用户用数字货币，主要是比特币进行交易。 2018年6月至2019年5月期间，De Alba在华尔街市场上做广告并出售非法麻醉品。这些麻醉品包括阿片类药物——包括芬太尼（隐藏为羟考酮药丸）和海洛因——以及其他强效非法药物，包括羟考酮、可卡因、甲基苯丙胺、摇头丸和其他含有摇头丸的物质。De Alba采取了各种匿名操作和隐瞒身份的措施，包括使用网络别名“RaptureReloaded”、使用虚假的公司名称和送货地址，使用她已故丈夫的名字从供应商那里接收包裹，并使用她已故丈夫名下的信用卡为其货物的追踪提供资金。De Alba还指示客户通过加密的电子邮件和信息服务与她联系，并用加密货币向她付款。De Alba向美国境内的地址提供免费送货服务，并对所有订单进行免费跟踪。 De Alba参与了华尔街市场上的600多笔交易，她卖出了超过：840克海洛因、190克甲基苯丙胺、1,250粒摇头丸和280片羟考酮。De Alba还出售了750多种假羟考酮药丸——这些药丸实际上含有芬太尼，但被隐藏起来并伪装成羟考酮。De Alba收到了加密货币比特币和门罗币的付款，并获得了大约16.32BTC和400XMR，目前价值超过100万美元。 政府的案件由办公室的国际麻醉品和洗钱科处理。美国助理检察官Saritha Komatireddy和Francisco J. Navarro负责起诉。

俄罗斯媒体援引消息人士的话报道称，莫斯科的执法人员拘留了三名男子，他们涉嫌泄露了“反对派人物阿列克谢·纳瓦尔尼在随后调查中需要使用的”公民个人数据。 据塔斯社援引执法部门消息人士的话称，这三名在私人侦探机构工作的男子利用暗网向付费客户出售地址、电话号码和其他个人数据。据称，该团伙使用伪造的法庭命令和伪造的警察文件来获取信息。 “纳瓦尔尼将从这三名男子获得的一些信息用于他的一项调查。”消息人士周一告诉塔斯社，三名犯罪嫌疑人名为彼得·卡特科夫（Pyotr Katkov）、亚历山大·泽连佐夫（Alexander Zelentsov）和伊戈尔·扎伊采夫（Igor Zaitsev）。 然而，该消息人士称，这些嫌疑人并不知道他们的客户之一是纳瓦尔尼。 莫斯科巴斯曼尼法院证实，这三人现在已被软禁，面临伪造文件和违反话单记录保密规定的指控。 虽然不知道泄露的信息究竟是用来做什么的，但匿名的Telegram频道Baza报道说，三名私家侦探获得了纳瓦尔尼团队用来调查他涉嫌中毒的电话数据。 去年8月，纳瓦尔尼在从西伯利亚城市托木斯克飞往莫斯科的航班上病倒。在被迫紧急降落在鄂木斯克后，他被送往医院。几天后，在家人的要求下，他被飞往德国，在柏林的慈善诊所接受治疗。 据在德国治疗他的医生说，纳瓦尔尼接触了神经毒剂诺维乔克，许多西方国家都指责俄罗斯是所谓的中毒事件的直接幕后黑手。 去年12月，来自荷兰调查团体Bellingcat、俄语媒体the Insider、美国CNN和德国明镜周刊的记者发表了一份报告，称纳瓦尔尼遭到俄罗斯联邦安全局 (FSB) 官员的袭击。该组织还声称他被跟踪了几个月。在暗网上获得的泄露数据库是调查的一个组成部分，包括电话地理定位数据和机票信息。 俄罗斯联邦安全局 (FSB) 否认了报告中提出的所有指控，称其为“有计划的挑衅，旨在诋毁联邦安全局及其雇员”，并指责记者与外国情报机构合作。 今年3月，莫斯科《生意人报》报道称，一名俄罗斯警察因涉嫌泄露该国旅行记录中央数据库的信息而被软禁，该数据库仅供执法部门使用。该报称，该警官从纳瓦尔尼的S7 2614航班上搜索数据，并将其“转移给了第三方”。