众所周知,强大的恶意软件可以在暗网上购买并相对轻松地使用。思科Talos网络安全研究团队的一份新报告说明了开箱即用的远程访问木马恶意软件的危险程度:自2020年12月以来,一场名为“Armor Piercer”的活动一直在攻击印度政府。
Armor Piercer具有被称为APT36或Mythic Leopard的高级持续威胁(APT)组织的许多特征,据信该组织在巴基斯坦境外开展活动。特别是,该报告引用了与Mythic Leopard使用的类型“非常相似”的诱饵和策略。
另一方面,该报告说,此次发现的RAT木马让人觉得Armor Piercer活动可能不是一个熟练的APT攻击:“发现两个商业RAT系列,称为NetwireRAT(又名NetwireRC)和WarzoneRAT(又名Ave Maria)”是对印度政府和军队发动袭击的幕后黑手。
“与许多犯罪软件和APT攻击不同,该活动使用相对简单、直接的感染链。攻击者没有开发定制的恶意软件或基础设施管理脚本来执行他们的攻击,但使用的暗网购买的RAT并没有降低杀伤力。”Talos在其报告中说。
Talos说,可以在暗网上购买的RAT木马具有广泛的功能集,其中许多允许完全控制受感染的系统,并能够建立立足点以部署其他恶意软件,就像从GUI仪表板部署包和模块一样简单。
与现代恶意软件活动一样,Armor Piercer活动使用恶意的Microsoft Office文档进行感染。该文档带有恶意的VBA宏和脚本,一旦被毫无戒心的用户打开,它就会从远程网站下载恶意软件加载程序。安装程序的最终目标是在系统上放置一个RAT,它可以保持访问,允许进一步渗透到网络中并窃取数据。
Armor Piercer背后的攻击者使用的RAT具有广泛的功能。
NetwireRAT能够从浏览器中窃取凭证,执行任意命令,收集系统信息,修改、删除和创建文件,列举和终止进程,记录密钥,等等。
WarzoneRAT以其令人印象深刻的功能概述为例,这些功能来自暗网广告,可在上面链接的Talos报告中找到。它能够独立于.NET运行,提供对受感染计算机的60FPS远程控制,隐藏的远程桌面,UAC绕过权限提升,从受感染的计算机上传输网络摄像头,从浏览器和邮件应用程序中恢复密码,实时和离线键盘记录器,反向代理,远程文件管理等。
现成的RAT和其他恶意软件不一定是懒惰、缺乏经验或时间短的操作的标志。“现成的产品,例如商品或破解的RAT和邮件程序,使攻击者能够快速实施新的活动,同时专注于他们的关键战术:诱使受害者感染自己。”Talos说。
不知道这次特定的攻击是否可能会转移到印度以外的地方,或者世界其他地方是否正在使用类似的策略。开箱即用的恶意软件的威胁仍然存在,无论组织位于何处:它很容易获得,相对便宜,如果它足够好以蠕虫进入政府计算机系统,它很可能对你的计算机系统做同样的事情。
俄罗斯联邦安全局(FSB)公共关系中心周五告诉塔斯社,俄罗斯联邦安全局已经摧毁了一条用于在暗网上供应和销售合成药物的庞大管道,在四个地区拘留了一个贩毒团伙的五名成员。
FSB指出:“联邦安全局已经清理了通过暗网交易市场供应和销售特别大规模合成毒品的最大渠道之一。”
一个全国性犯罪团伙的五名成员在莫斯科、罗斯托夫、阿斯特拉罕和克拉斯诺达尔地区被捕。“被捕者中包括毒品生产和分销渠道背后的策划者,以及协调来自土耳其的非法活动组织者,其负责协调土耳其境内毒品贸易的毒品生产和分销。”FSB说。
要知道,此类任务具有相当的技术复杂性,“暗网”是一个不受政府控制的网络空间。最受欢迎的暗网技术——Tor 网络——最初是由美国情报机构之一为其自己的特工开发的,爱德华·斯诺登(Edward Snowden)在他的回忆录中写道。
早些时候,联邦机构挫败了一个地下实验室的活动,该实验室每月在莫斯科地区生产超过500公斤的毒品。查获非法贩运的甲氧麻黄酮60余公斤、液体麻醉品6000升、前体1500公斤、化学试剂22000公斤。FSB表示:“调查当局正在提出指控并已立案,被拘留者已被还押。”
今年夏天,俄罗斯联邦安全局与联邦海关总署、国防部和国民警卫队一起开展了里海之星2021行动。此次行动的目的是切断通过里海盆地各国走私毒品、武器和弹药的渠道。在行动过程中,有200多人被捕。
网络犯罪分子是下一代强盗。当黄金和装满现金的金库通过火车运输时,盗贼也随之而来。现在钱是数字的,罪犯也是数字的。过去的歹徒试图通过涌入简陋的酒馆来躲避执法者,而21世纪的暴徒则躲在暗网的掩护下。
暗网几乎无法追踪,而且隐藏在公众视野之外,是建立阴暗关系的完美场所。充足的犯罪论坛保证了他们能够稳定地接触到愿意合作的同伙、新的勒索技术和骗子。然而,他们不知道的是,这些人中有冒牌货。他们是好人,在数字世界的黑暗面收集有关暗网的情报。
他们反过来对我说,我们会找到写这篇文章的人,然后杀了他们。
这项任务既不容易,也不安全。即使是最轻微的怀疑也可能引起警报。失去对有价值论坛的访问权限只是暴露身份可能给暗网研究人员带来的问题的冰山一角。正是出于这个原因,我们同意不披露来自暗网数据提供商和情报公司DarkOwl的研究人员的个人信息,该研究人员已同意与我们交谈。
“我试图弄清楚他们在哪里活动,他们与谁有关,他们参与了哪些团体,我成了目标。他们对我说,我们会找到写这篇文章的人,并来杀了他们。”研究人员告诉CyberNews。
深入观察暗网有其好处。一旦您的公司网络访问出现在犯罪论坛上,最好迅速采取行动。一旦勒索软件集团掌握了这个漏洞,要防止漏洞发生可能就太晚了。
根据我们的对话者的说法,成为网络罪犯从未如此简单。密码专家是唯一设计勒索软件的人的时代已经一去不复返了。毫无顾忌,有犯罪心理,再加上几百块钱,是尝试在暗网开始职业生涯所需要的全部。
我们打了一个电话,讨论网络犯罪分子多年来发展的支持系统,对黑客的误解,以及我们应该如何看待这一切。
在对话之前,我们已同意不提及您的姓名或任何其他标识符。这是为什么?你的工作有哪些危险? 在我们的工作中,匿名是无价的。没有人知道谁在现实生活中是谁,每个人都被化名和代理所隐藏。我不想引起别人的注意,无论是在外面还是在现实世界。几年前,当我积极追捕在这一领域相当深入的几个犯罪威胁者和团体时,我变得更加认真了。
我一直在追捕一个特定的犯罪分子,试图弄清楚他们在哪里经营,他们与谁有关,他们隶属于什么团体。我成了目标。他们转向我说:“我们会找到写这篇文章的人,然后杀了他们,摧毁他们。”
起初,我并没有太当真,但是我的一个亲密且人脉广泛的朋友告诉我,写这封信的人是认真的,他情绪不稳定,执意要发现我的身份。我的朋友建议我改变我的实际位置并搬家。
我突然意识到这很严重,我有孩子要考虑和保护。那次经历让我非常意识到我们工作环境的严重性。我们在这里有点像在狂野的西部地区,很难区分什么是真实的,什么是虚构的。
这听起来很不祥。我的意思是,身体伤害的威胁一定非常令人痛苦。
这是精神上的消耗。虽然大多数用户可能永远不会采取行动,但暗网中也有很多心理不稳定的人。它变成了一种游戏,就像拖钓一样,一种一个人认真打算摧毁另一个人的痴迷。
让我们换个角度,看看你的事业给你带来的启示。最近,有很多人在谈论支持暗网生态系统。作为一个直接关注黑暗中心的人,你认为这个生态系统是否像它被描述的那样重要? 是的,这很关键。看看勒索软件即服务(RaaS)。第一代和第二代勒索软件是由非常聪明的恶意软件开发人员、密码学家和加密专家开发的。如果您想给他们贴上标签,那么设计和使用此类软件的人是一些最复杂的恶意软件开发人员或周围的“精英”黑客。
但是通过RaaS附属模式,他们让其他人有机会以每年几百美元的价格“租用”勒索软件,这取决于他们使用的压力。任何有兴趣涉足勒索软件业务的人都可以进入市场,而无需具备任何关于如何对网络进行企业级攻击的先验知识或专业知识。
一些团伙,如Lockbit2.0几乎完全自动化,他们的附属机构不需要对他们正在做的事情有丝毫的了解。您只需按一下,即插即用。识别受害者,将其放到网络上,剩下的就交给他们了。
生态系统的另一个方面是网络访问。勒索软件会锁定网络,但不给附属机构直接访问权。与RaaS一起运行的最大的生态系统被称为IAB或初始访问经纪人。这些经纪人为突破网络提供便利,要么是网络漏洞,要么是泄露的凭证,让人可以访问服务器。这可能是一个简单的开放服务器,或端口,或管理账户。
RaaS附属机构并不总是认识在他们想要入侵的公司工作的人。这就是为什么他们需要IAB。一些RaaS组织正在从他们的受害者网络中招募员工,例如内部威胁。还有一个顾问网络,为受害者谈判提供支持并协调受害者的付款。
此外,许多这些暗网犯罪分子并不是最具社会意识的人。他们不一定知道如何与世界之外的人互动。他们中有一半人的母语不是英语。他们甚至雇佣了一些客户服务代表类型的顾问,与高价值的受害者互动,让他们尽可能多地支付赎金并完成交易。
我最近进行了这项研究,显示生态系统内的一些人并不完全知道他们在帮助犯罪团伙。你对此有什么看法?你认为人们是否有可能不知道他们把自己放在什么地方? 有一小部分暗网用户是超级智能用户。这些人吃喝拉撒睡都是科技,他们热衷于构建代码和解决难题。我和他们交流过,他们的天赋超群。
他们是我所遇到过的最聪明的人之一。在这种智慧中,他们也略显天真,对他们建立的任何东西被用于犯罪的可能性视而不见。
但大多数在暗网论坛上编写恶意软件并与这些玩家互动的人并不傻。他们知道你要么是执法人员,要么是罪犯。他们敏锐地意识到,他们提供的服务或信息将被用于某些犯罪活动或打击犯罪活动。
在Colonial Pipeline和JBS黑客攻击之后,有一些遏制生态系统的尝试,一些论坛禁止讨论勒索软件。你有没有注意到这些禁令以某种方式实现了? 是的,在某种程度上。来自RaaS团伙的帖子已经消失了,这些团伙曾经宣传他们有一种新的勒索软件毒株并正在寻找合作伙伴和目标。但这并不能阻止对话的发生。你只需要知道现在的语言是什么。
我不是在谈论口语,而是代码。是的,信息在某种程度上受到审查,但这并不意味着讨论没有发生。犯罪集团也迁移到Telegram和其他交流渠道。这些对话的其他场所不一定有那么严格的审核,也不一定有那么多的执法力量。
总的来说,围绕勒索软件和网络犯罪有很多神秘主义色彩。您是否注意到一般人群对网络犯罪分子的一些误解? 最常见的误解是,在一个昏暗的房间里,满是戴着头罩的黑客,在黑屏和绿色文本的显示器前。这是不可能的。对于勒索软件,它实际上是即插即用的那种东西。他们在Windows上运行这些脚本,并使用图形用户界面。它不像“黑客帝国”那样看起来很酷。
另一方面是有些人认为攻击是随机的,纯粹是为了经济利益。我们内心产生了这种程度的恐惧,这让我们怀疑自己是否是下一个。但实际上,攻击更具针对性,尤其是像Colonial和Kaseya这样的攻击。
当然,许多附属机构只是想利用受害者,抓住机会,尽可能多地打击目标,获得尽可能多的加密货币,然后消失。但有一小部分人更值得关注。
我认为美国政府、情报界、国际执法界都在关注这里有什么更大的戏。我们所忽略的更大的故事是什么?它是间谍活动吗?它是对基础设施的控制吗?这一切的下一个方向是什么?这也是误解之一,因为人们常常认为这完全是随机的,而实际上不是这样。 这些暗网威胁者中的一些人只是为了获得权力。他们喜欢被恐惧,他们也喜欢快速赚钱。在黑暗网络中,有很多犯罪分子都有这种简单的动机。
但它还有另一个组成部分,特别是对于那些规模较大的团伙来说,其运作的复杂程度与民族国家一致。他们工作的复杂程度表明,他们所服务的主人比简单的金钱更重要。
如果你现在列出所有不同的活跃的RaaS团伙,你可以将业余者与那些有更重要的目标有关的人区分开来,如关键基础设施。这可能是间谍活动和网络恐怖主义。这是比你们这些人甚至包住脑袋的任何东西都要大的东西。
大型跨国公司奥林巴斯(Olympus)9月11日在一份简短声明中表示,该公司“目前正在调查影响其欧洲、中东和非洲计算机网络的潜在网络安全事件”。
“在检测到可疑活动后,我们立即组织了一个包括取证专家在内的专业响应团队,我们目前正在以最高优先级解决这个问题。作为调查的一部分,我们已暂停受影响系统中的数据传输,并已通知相关外部合作伙伴。”声明说。
被感染计算机上留下的赎金说明声称来自BlackMatter勒索软件组织。“您的网络已加密,目前无法运行,”它写道。“如果您付费,我们将为您提供解密程序。”赎金说明还包括一个只能通过Tor浏览器访问的暗网网址,已知BlackMatter使用该网站与受害者进行通信。
Emsisoft的勒索软件专家和威胁分析师BrettCallow称,勒索信中的网站与BlackMatter组织有关。
BlackMatter是一个勒索软件团伙,它被认为是现已退役的DarkSide、LockBit 2.0和REvil勒索软件团伙的继任者。但SophosLabs的分析表明,虽然DarkMatter和DarkSide勒索软件之间存在相似之处,但代码并不相同。
自该团伙于6月出现以来,Emsisoft已记录了40多起归因于BlackMatter的勒索软件攻击,但受害者总数可能要高得多。
BlackMatter等勒索软件团伙通常会先从公司网络中窃取数据,然后再对其进行加密,然后威胁如果不支付用于解密文件的赎金,就会在线发布文件。另有一个与BlackMatter相关的暗网网站,用来宣传其受害者并兜售被盗数据,但目前该网站还没有奥林巴斯的数据条目。
奥林巴斯是一家跨国公司,在全球拥有31,600多名员工,为医疗和生命科学行业生产光学和数字复印技术。它在过去以模拟和数码相机的先驱而闻名,但在1月份出售了其陷入困境的相机部门。
奥林巴斯公司在9月14日更新声明称:
我们可以确认,2021年9月8日发生的事件是恶意软件攻击未遂,影响了我们在EMEA(欧洲、中东和非洲)的部分销售和制造网络。我们立即暂停了这些区域的数据传输,并通知了相关外部各方。我们向所有客户和合作伙伴保证,我们的日常业务运作正常,确保为患者提供不间断的服务。
我们已将事件报告给相关政府部门。我们将继续采取一切必要措施,以安全的方式为我们的客户和业务合作伙伴提供服务。
根据迄今为止的调查结果,没有发现我们的数据丢失、未经授权使用或披露的证据。也没有证据表明网络安全事件影响了EMEA地区以外的任何系统。
保护我们的客户和合作伙伴并保持他们对我们的信任是重中之重。我们非常重视数据的安全和保障,并将继续采取措施加强我们的IT安全。
对于由此事件造成的任何不便,我们深表歉意。
新的研究表明,随着消息应用程序作为暗网的替代品出现,Telegram已成为网络犯罪分子寻求购买、出售和共享被盗数据和黑客工具的中心,也是暗网中犯罪分子交流最常用的聊天软件。
Telegram于2013年推出,允许用户通过“频道”向关注者广播消息,或创建其他人可以轻松访问的公共和私人群组。用户还可以直接通过应用程序发送和接收大型数据文件,包括文本和压缩文件。根据SensorTower的数据,该平台表示其拥有超过5亿活跃用户,8月份下载量突破10亿次。
网络犯罪分子多年来一直在使用Telegram,因为它是加密的,容易访问。根据《金融时报》和网络情报组织Cyberint最近进行的一项调查,最近“网络犯罪分子对Telegram的使用增加了100%以上”。英国《金融时报》表示,在WhatsApp的隐私政策发生变化后,用户纷纷涌向该应用程序后,该应用程序上的犯罪活动有所增加。
如果你还记得,今年早些时候,WhatsApp要求其用户接受一项修订后的政策,允许其与母公司Facebook共享数据。用户感到愤怒,WhatsApp不得不澄清,它仍然不能阅读他们的私人通信。即便如此,人们还是迁移到了提供类似安全信息功能的竞争对手那里–对于Telegram来说,这显然导致了通过该应用进行的犯罪活动的增加。
根据调查人员的说法,有一个不断膨胀的黑客网络,他们在拥有数万名用户的频道中分享和出售数据泄露。据报道,在过去一年中,“Email:pass”和“Combo”在该应用程序中被提及的次数增加了四倍。该应用程序上流传的一些数据转储包含30万至60万个游戏和电子邮件服务的电子邮件和密码组合。网络犯罪分子还通过该应用程序出售金融信息,如信用卡号码、护照副本和黑客工具。
vpnMentor发布报告称,Telegram上流传的数据转储来自Facebook、营销软件提供商Click.org和约会网站Meet Mindful等公司之前的黑客攻击和数据泄露。大多数数据泄露和黑客攻击似乎只有在暗网上出售后才会在Telegram上共享,或者黑客未能找到买家并决定公开或共享信息。
Cyberint的网络威胁分析师 Tal Samra表示,网络犯罪分子从暗网过渡到Telegram的部分原因是该加密聊天工具提供了匿名性。但他指出,其中许多团体也是公开的。暗网论坛内部共享的Telegram群组或频道的链接从前一年的172,035个跃升至2021年的100万个以上。
Samra解释说:”Telegram的加密信息服务在进行欺诈活动和出售被盗数据的网络犯罪分子中越来越受欢迎……因为它比暗网使用起来更方便”。萨姆拉说,除了比暗网更方便之外,Telegram也不太可能被警方监控。
在《金融时报》通知该公司后,Telegram已经删除了出售带有电子邮件和密码组合的大量数据集的渠道。在一份声明中,Telegram还表示,它“有删除未经同意分享的个人数据的政策”,并且它有一支“不断壮大的专业版主队伍”,每天删除1万个违反其服务条款的公共社区。今年早些时候,在美国国会大厦遭到袭击后,这些版主不得不监控数百个频道,以留意暴力的呼声。
一名被联邦调查局标记为世界上最大的儿童色情提供者的男子于周三被联邦监狱判处27年监禁,出狱后将被终身监管。
检察官说,埃里克·伊恩·马克斯(Eric Eoin Marques)运行着一个由暗网服务器组成的网络,该网络托管了数百万张描绘儿童性虐待的图像。
他因罪行被判27年徒刑,法官称其为“真正卑鄙的”。
美国检察官说,马克斯创造了全世界儿童色情制品的“需求和供应”。
根据检察官的声明,36岁的纽约出生的Eric Eoin Marques是美国和爱尔兰的公民,他经营着一个暗网服务器网络,该网络托管着200多个网站,这些网站分发了数百万张包含儿童性虐待的图像和视频。Marques称整个网络为“Freedom Hosting”。
检察官说,许多图像显示了未成年人在进入青春期之前被强奸和折磨,甚至是对婴儿和幼儿的虐待。检察官说,在发现Marques的暗网服务器之前,执法部门从未见过近200万张数量的这些非法图像。
“马克斯先生基本上为其他人创造了一个交易和推广儿童色情制品的市场,他正在为世界各地对儿童非常危险和有害的交易创造需求和供应,”该地区代理美国检察官乔纳森·伦茨纳(JonathanLenzner)马里兰州告诉RTE新闻。
马里兰州地区的美国代理检察官乔纳森·伦茨纳(Jonathan Lenzner)告诉RTE新闻记者:“马克斯先生基本上为其他人创造了一个交易和推广儿童色情制品的市场,他为全世界的儿童创造了非常危险和有害的交易需求和供应。”
警方于2013年对Marques提起联邦指控,他于2020年2月承认密谋在暗网上宣传儿童色情内容。
据美联社报道,在周三的量刑听证会上,美国地区法官Theodore Chuang表示,Marques的罪行“真的很卑鄙”,就像毒枭的罪行。
根据美联社报道,Chuang同意建议联邦监狱局对马奎斯2013年在爱尔兰被捕后的8年羁押时间给予认可。Chuang此前拒绝了检察官要求判处15至21年监禁的认罪协议,称这种安排存在“缺陷”,他想给Marques更长的刑期。
据美联社报道,在被判刑之前,马克斯向他的受害者道歉,并请求Chuang宽恕。
“我知道我做错了什么。”他对法庭说,并补充说他不会再做这样的事情了。
据美联社报道,马克斯的律师之一、联邦公设辩护人助理布兰登·赫森(Brendan Hurson)说:“在这个法庭上,没有人不对本案发生的事情感到厌恶。他不会再这样做了,他对自己所做的事情感到懊悔。”
联邦调查局助理局长卡尔文·希弗斯在检察官的一份声明中说:“今天对埃里克·马克斯的判决向这一严重罪行的肇事者发出了一个明确的信息,即无论你身在世界何处,执法部门都会追究你的责任并将你绳之以法。”
吉尔伯托-梅尔加雷霍(Gilberto Melgarejo)被指控在暗网上使用比特币支付出售各种类型的非法麻醉品。 据检察官称,一名来自美国新墨西哥州的毒贩周四在布鲁克林联邦法院认罪,在暗网上使用加密货币兜售大量毒品。
位于纽约东区的美国检察官办公室表示,27岁的吉尔伯托·梅尔加雷霍(Gilberto Melgarejo)以“THEQUEENSHIVE”的网名在暗网交易市场出售冰毒、芬太尼、海洛因、迷幻药和摇头丸。
联邦调查局称,梅尔加雷霍的同伙23岁的布鲁克·格雷(Brooke Gray),上个月承认了同样的指控,即共谋分销和拥有意图在暗网上分销非法药物。
检察官说,这对夫妇两年前在新墨西哥州被捕,因为当局发现他们利用肮脏的暗网交易市场”华尔街市场”和”帝国市场”,以”THEQUEENSHIVE”的网名推销其非法商品。
官员们说,在近100次交易中,他们将毒品从阿尔伯克基地区的加油站邮箱发送给客户,这些客户通过加密服务向他们发送比特币付款。
“这项调查证明,当涉及到执法部门拯救生命的努力时,在暗网中是没有地方可以躲藏的。”缉毒局特工负责人雷·多诺万(Ray Donovan)在一份声明中说。
EDNY的代理美国检察官杰奎琳·卡苏利斯 (Jacquelyn Kasulis) 补充说,她的办公室将继续“积极起诉促成阿片类药物流行并危害我们社区的毒品贩卖者”。
据检察官称,这两名来自阿尔伯克基的暗网毒贩面临着联邦监狱的生活。
臭名昭著的暗网网站丝绸之路背后的罗斯·乌布里希特(Ross Ulbricht)在2015年因经营地下毒品市场而被定罪后,目前正在服无期徒刑。
Ragnar Locker勒索团伙是一系列针对公司的代价高昂的勒索软件攻击背后的网络犯罪团伙,它警告受害者不要寻求执法机构的帮助。
该团伙还警告受害者,他们也不应该与那些在勒索软件攻击后专门帮助公司与网络犯罪分子谈判的公司合作,并在其暗网网站上发表声明说,它将惩罚任何违反要求的”客户”,立即公布其被盗数据。
Ragnar Locker的警告:
Dear clients if you want to resolve all issues smoothly, don’t ask the Police to do this for you. We will find out and punish with all our effort.(亲爱的客户,如果你想顺利地解决所有问题,不要让警察为你做这些,否则我们会全力以赴地发现和惩处。)
这是Ragnar Locker所说的全文:
In our practice we has facing with the professional negotiators much more often in last days. Unfortunately it’s not making the process easier or safer, on the contrary it’s actually makes all even worse.
PUMA,可译为彪马,是一家德国体育用品制造商,为开云集团旗下品牌。PUMA与阿迪达斯同为1970与1980年代嘻哈文化代表物之一。
PUMA被盗数据出现在暗网上的地下市场Marketo上。 在暗网地下市场Marketo 上,据称从运动服装制造商彪马窃取的数据被拍卖。据该广告的作者称,彪马公司被窃取了总共约1GB的数据。
Marketo管理员说,他们是一个有组织的“被盗数据买卖市场”的网站运营方,而不是那种典型的分发恶意代码闯入IT系统的勒索软件集团。该市场还为其客户提供“竞价”被盗数据的机会,从而在感兴趣的各方之间形成竞争,目前已经有157名网络犯罪分子竞相购买彪马的敏感数据。
据Security Affairs称,被盗的PUMA数据包括内部管理应用程序的源代码,据称与该公司的产品管理门户有关。网络犯罪分子可以使用这些数据对公司发起更复杂的攻击。
专家表示,彪马的文件可能因第三方软件供应商的数据泄露而被盗。
Phorpiex恶意软件的操控者关闭了僵尸网络,并在其中一个暗网论坛上出售其源代码。该代码的售价为9000美元。
根据暗网网站上的帖子,出售的原因是恶意代码的原始作者不再参与该项目。
Check Point专家Aleksey Bukhteev证实了广告的准确性。据他介绍,Phorpiex控制服务器已经有两个多月没有活动了。服务器上一次收到删除自己的命令是在今年7月6日。从那时起,僵尸网络就从专家的视野中消失了。
“我们知道源代码是私人的,之前没有出售过,所以论坛上的这个公告看起来真的很可信。”布赫蒂耶夫在接受 The Record 记者采访时说。
专家警告说,虽然Phorpiex的C&C服务器目前处于非活动状态,但购买源代码的人将能够配置他们自己的服务端并访问受感染的设备。
“有很多受感染的机器 = 活跃的机器人。我们无法确切说出有多少,但我们不断观察到对我们网关的攻击。”专家说。
此外,机器人架构允许操控者通过欺骗加密货币钱包中的地址来被动地赚钱,即使没有主动的C&C服务器。
目前还不清楚是否有人已经购买了Phorpiex源代码。