”暗网下/AWX“昨天报道了执法当局计划在未来24小时内发布有关LockBit勒索软件团伙的新信息,正如之前的预告,24小时后,美国政府周二表示,美国、英国和澳大利亚已制裁并揭露了臭名昭著的勒索软件团伙LockBit的一名俄罗斯高级头目,并发布了全球悬赏通缉令,悬赏1000万美元。
根据英国国家打击犯罪局(NCA)的消息,德米特里·霍罗舍夫(Dmitry Khoroshev)被确定为勒索软件团伙LockBit的领导者之一后,将面临资产冻结和旅行禁令。LockBit是一个臭名昭著的勒索软件团伙,已通过加密货币方式向全球受害者勒索了超过10亿美元。
“这些制裁意义重大,表明像德米特里·霍罗舍夫这样在全球造成严重破坏的网络犯罪分子没有藏身之所。他确信自己可以保持匿名,但他错了。”英国国家打击犯罪局局长格雷姆·比格(Graeme Biggar)在一份声明中表示。
LockBit在2月份首次受到NCA、美国司法部、联邦调查局和欧洲刑警组织的干扰,在一场史无前例的行动中,该团伙的暗网网站被警方扣押,并利用该网站泄露了有关该团伙及其幕后人员的内部信息。
英国制裁大臣安妮-玛丽·特雷维利安(Anne-Marie Trevelyan)在一份声明中表示:“通过制裁LockBit的一位领导者,我们正在对那些继续威胁全球安全的人采取直接行动,同时揭露来自俄罗斯的恶意网络犯罪活动。”
勒索软件是对数据进行加密的恶意软件;LockBit及其附属公司通过胁迫目标支付赎金来解密或用数字密钥解锁数据来赚钱。该团伙的数字勒索工具已被用于对付世界上一些最大的企业。
LockBit犯罪集团 LockBit招募的附属机构是志同道合的犯罪团伙,LockBit招募他们使用这些工具发动攻击。这些附属机构实施攻击,并向LockBit提供一部分赎金分成,赎金通常以加密货币的形式要求,这使得追踪变得更加困难。
今年2月,美国宣布指控两名俄罗斯公民针对世界各地的公司和团体部署LockBit勒索软件。两人还受到美国财政部的制裁。
在被执法部门查获之前,LockBit的暗网网站展示了一个不断增长的受害者企业列表,几乎每天都会更新。 在这些企业名称的旁边还有数字时钟,显示距离每个组织支付赎金的最后期限还剩多少天。
周二,国际警察机构再次利用这一平台来对付该团伙本身,揭露霍罗舍夫的真面目,并发布了一张通缉令海报,承诺向提供线索逮捕霍罗舍夫的人奖励1000万美元。
根据周二公布的包含26项罪名的美国起诉书,霍罗舍夫从LockBit的活动中接收了至少1亿美元的比特币付款。
根据欧洲刑警组织的消息,这些措施是在2024年2月由英国国家犯罪局牵头采取的第一阶段行动之后采取的,导致LockBit的主要平台和其他关键基础设施受到损害。这些制裁是欧洲刑警组织和欧洲司法组织支持的协调行动的一部分,旨在严重损害LockBit勒索软件团伙的能力和信誉。
LockBit犯罪行为的真正影响此前尚不清楚,但从其系统获得的数据显示,2022年6月至2024年2月期间,使用其服务发起了7000多次勒索攻击。受攻击最多的五个国家是美国、英国、法国、德国和中国。
欧洲刑警组织发布了约3500份受害者情报包 执法部门目前拥有超过2500个解密密钥,并正在继续联系LockBit受害者以提供支持。
欧洲刑警组织一直在利用调查和第一阶段行动期间收集的大量数据来识别这些遍布世界各地的受害者。其欧洲网络犯罪中心(EC3)已向33个国家分发了约3500个包含LockBit受害者信息的情报包。
在欧洲刑警组织的支持下,日本警方、英国国家打击犯罪局和联邦调查局集中其技术专长,开发了用于恢复被LockBit勒索软件加密的文件的解密工具。
这些解决方案已在No More Ransom门户网站上以37种语言免费提供。
由NCA控制的泄密网站 在二月份夺取控制权后,执法部门重新设计了该勒索软件组织在暗网上的泄密网站,转而发布一系列文章,揭露针对LockBit采取的不同行动。
由NCA控制的泄密网站再次被用来发布一系列揭露该犯罪集团的信息。
可通过Tor浏览器使用以下链接访问该网站:
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion
这项调查将继续查明附属机构——那些使用LockBit服务并进行攻击的人——并确保他们面临执法行动。
克洛诺斯行动 克罗诺斯行动(Operation Cronos)的国际工作组针对并破坏LockBit勒索软件团伙的协同行动正在进行中。以下机构是该工作组的成员:
法国:国家宪兵队(National Gendarmerie – C3N National Cyber Unit)
德国:石勒苏益格-荷尔斯泰因州刑事调查局(LKA Schleswig-Holstein)、联邦刑事警察局
荷兰:国家警察局(泽兰-西布拉班特网络犯罪小组、东布拉班特网络犯罪小组、高科技犯罪小组)、泽兰-西布拉班特检察官办公室
瑞典:瑞典警察局
澳大利亚:澳大利亚联邦警察(AFP)
加拿大:加拿大皇家骑警(RCMP)
日本:警察厅
英国:国家打击犯罪局(NCA)、西南地区有组织犯罪部门(South West ROCU)
美国:美国司法部(DOJ)、联邦调查局(FBI)纽瓦克分局
瑞士:瑞士联邦警察局(fedpol)、苏黎世州检察官办公室、苏黎世州警察局
LockBit勒索软件团伙管理员德米特里·尤里耶维奇·霍罗舍夫(Dmitry Yuryevich Khoroshev)的通缉令 姓名: Dmitry Yuryevich Khoroshev(德米特里·尤里耶维奇·霍罗舍夫)
别名: 无
出生日期:1993年4月17日
出生地:俄罗斯
国籍: 俄罗斯
国籍: 俄罗斯
美国司法部周五宣布对33岁的米洛米尔·德斯尼卡(Milomir Desnica)提出指控,他是克罗地亚和塞尔维亚公民。他被指控在2019年底在暗网里推出“Monopoly市场”,担任该暗网市场的管理员,并通过所有销售中赚取的佣金获利。
2022年7月,华盛顿的一个联邦大陪审团对德斯尼卡提出了两项指控,并要求没收他所指控的罪行的所有收益。他被指控串谋分销和持有并意图分销50克以上的甲基苯丙胺,以及洗钱罪。这些罪名最高可判处终身监禁和20年有期徒刑。
针对德斯尼卡的案件是联邦调查局华盛顿外地办事处的高科技阿片类药物特别工作组和德国奥尔登堡中央刑事调查组(Zentrale Kriminalinspektion Oldenburg)网络犯罪小组联合调查的结果,该调查确定并定位了德斯尼卡。2022年11月2日,奥地利当局根据临时逮捕令逮捕了他。警方搜查了他的住所和车辆,没收了电子设备和现金。
在德斯尼卡提出异议后,奥地利法院支持了美国的引渡请求,并于周五被引渡。预计嫌疑人将于周一在华盛顿特区联邦法院首次出庭,接受美国地方法院法官卡尔·尼科尔斯(Carl J. Nichols)的审讯。
美国司法部指控德斯尼卡审查和批准想要在”Monopoly市场“上出售毒品的个人的所有申请。检察官表示,所有供应商的申请都包括“他们想要销售的毒品的描述、库存的照片证明以及为通过’Monopoly市场‘完成销售后需支付佣金的协议”。
根据法庭文件,供应商通常同意与”Monopoly市场“运营者分享5%的收入。联邦调查局表示,”Monopoly市场“总共为供应商赚取了至少1800万美元的收入,这意味着该市场的运营者据称赚取了超过90万美元的佣金。
涉嫌在暗网经营”Monopoly市场“的男子被逮捕 ”Monopoly市场“是一个暗网市场,这意味着只能通过使用匿名Tor浏览器才能访问该电子商务网站。在其他毒品中,该网站还销售阿片类药物、兴奋剂、致幻剂和处方药。检察官表示,2021年,卧底的美国执法人员能够从”Monopoly市场“购买超过100克的甲基苯丙胺。
5月份,在欧盟执法机构欧洲刑警组织的协调下,一次代号为SpecTor的联合执法行动,查获了”Monopoly市场“的犯罪基础设施,并逮捕了288名嫌疑人。执法人员还缴获了超过5400万美元的现金和虚拟货币、850公斤毒品(包括安非他明、可卡因、MDMA、LSD和摇头丸)以及117支枪。
参与SpecTor的9个国家分别逮捕了多名嫌疑人:美国(153人被捕)、英国(55人)、德国(52人)、荷兰(10人)、奥地利(9人)、法国(5人)、瑞士(2人)、波兰(1人)、巴西(1人)。
欧洲刑警组织执行主任凯瑟琳·德·博勒(Catherine De Bolle)当时在会议上表示:“这次行动向暗网上的犯罪分子发出了强烈的信息:国际执法机构有手段和能力识别你的非法活动,并追究你的责任,即使是在暗网上。”
针对”Monopoly市场“的案件之所以成立,部分原因是德国当局于2021年12月扣押了”Monopoly市场“的基础设施,这使得警方能够开始识别供应商和客户。美国联邦调查局表示,在司法互助条约的支持下,它从德国收到了市场数据库和论坛数据库的数字取证副本。
通过加密货币追踪溯源,FBI找到幕后的运营者德斯尼卡 美国联邦调查局表示,在研究了德国执法部门查获的市场数据库(其中包括发送给供应商的票据)后,确定了德斯尼卡的身份。调查人员发现,所有发给供应商的票据都包含比特币或门罗币地址,供应商被要求将”Monopoly市场“运营者应得的佣金发送到该地址,虽然这些付款详细信息已在2021年10月22日之前的票据中删除,但在后来的票据中仍然存在。
联邦调查局分析了涉及”Monopoly市场“运营者明显使用的地址的大量交易。按月计算,所有收到的资金中,有一半似乎被转账到存储中,并显然保持不变,另一半被发送到不保留用户详细信息的加密货币交易所。司法部表示:“德斯尼卡随后将非法加密货币出售给塞尔维亚的点对点交易商,以换取法定货币-所有这些都是为了清洗非法毒品销售的收益。”
检察官周六提交给法院的一份支持拘留的备忘录报告说,FBI揭开德斯尼卡的真面目的部分原因是识别出“存入MoonPay.io交易所某钱包的两笔比特币存款,该钱包也收到了2020年7月的’Monopoly市场‘收益”。FBI从MoonPay加密货币交易所获得的记录,使其能够识别用于在MoonPay进行存款的谷歌支付帐户,并追溯到德斯尼卡使用的信用卡和Gmail地址。FBI表示,其中一个电子邮件帐户包含访问”Monopoly市场“的比特币钱包所需的12个单词的助记词。
检察官在备忘录中写道:“他通过各种社交媒体、个人电子邮件帐户以及访问‘Monopoly市场’比特币钱包所需的种子短语,与‘Monopoly市场’直接联系在一起。”
联邦调查局通缉Matveev的海报 美国政府已起诉一名俄罗斯国民,指控他参与了针对美国执法部门和关键基础设施的勒索软件攻击。
美国当局指控Mikhail Pavolovich Matveev(在网上也被称为“Wazawaka”和“Boriselcin”)是开发和部署Hive、LockBit和Babuk勒索软件变体的“核心人物”,从公司、学校、医院和政府机构勒索了数亿美元。
消息称,这三个勒索软件团伙已将美国数千名受害者作为目标。据美国司法部称,LockBit勒索软件团伙已实施了1400多次攻击,发出超过1亿美元的赎金要求,并收到超过7500万美元的赎金。Babuk已经执行了超过65次攻击并收到了1300万美元的赎金,而Hive则针对全球1500多名受害者并收到了高达1.2亿美元的赎金。
Matveev也被认为与俄罗斯支持的Conti勒索软件团伙有联系。据信,这名俄罗斯国民声称对针对哥斯达黎加政府的勒索软件攻击负责,Conti黑客要求支付2000万美元的赎金,同时推翻哥斯达黎加政府。
新泽西州和哥伦比亚特区的起诉书称,Matveev参与了从三个不同的分支或附属机构(包括Babuk、Hive和LockBit)分发勒索软件的阴谋。
起诉书称,2020年6月25日,Matveev和他的LockBit同谋对新泽西州帕赛克县的一家执法机构部署了LockBit勒索软件。检察官表示,2022年5月27日,Matveev与Hive共谋对总部位于新泽西州默瑟县的一家非营利性行为医疗机构进行勒索。2021年4月26日,Matveev和他的Babuk团伙据称对华盛顿特区的大都会警察局部署了勒索软件(起诉书)。
根据周二宣布对俄罗斯国民实施制裁的美国财政部的说法,Matveev还与针对包括美国航空公司在内的众多美国企业的其他勒索软件入侵有关。
在2021年1月俄罗斯顶级网络犯罪暗网论坛的一次讨论中,据称为Matveev的另一个昵称“Wazawaka”表示,他没有计划离开“俄罗斯母亲”的保护,而且出国旅行对他来说不是一个选择。
“俄罗斯母亲会帮助你的,”Wazawaka总结道。“爱你的国家,你将永远摆脱一切。”
2022年1月,著名美国安全媒体KrebsOnSecurity发布了谁是网络访问代理人“Wazawaka”,从Wazawaka在俄语网络犯罪论坛上的许多化名和联系方式中找到的线索,追溯到来自俄罗斯阿巴扎(Abaza)的33岁的Mikhail Matveev(联邦调查局说他的出生日期是1992年8月17日)。
那个故事发布一个月后,一个看起来与Matveev的社交媒体照片相同的人开始在Twitter上发布一系列奇怪的自拍视频,他在这些视频中猛烈抨击安全记者和研究人员,同时使用同一个Twitter账户为一个广泛使用的虚拟私人网络(VPN)设备发布漏洞代码。
The Record澄清说,在2022年8月发表的采访中,Matveev自己证实,除了Wazawaka,他还使用了Babuk、BorisElcin、unc1756 和Orange等昵称,Matveev本人在接受采访时表示,他在俄罗斯过着“平凡的生活”,从未接触过执法机构。
检察官也指控Matveev在网络犯罪论坛上使用了令人眼花缭乱的绰号,包括“Boriselcin”,这是一个健谈而傲慢的人,同时也是Babuk的公众形象,Babuk是一个在2020年新年前夜出现的勒索软件附属程序。
此前的报道显示,Matveev的另一个身份包括暗网论坛RAMP的创始人“Orange”。RAMP是“Ransom Anon Market Place”的缩写,安全公司Flashpoint的分析师表示,该论坛的创建是“直接回应了‘几个大型暗网论坛在勒索软件团伙DarkSide的Colonial Pipeline攻击后禁止勒索软件集体在其网站上发布消息’”。
在暗网论坛XSS的一个又一个帖子中,可以看到Matveev所谓的别名“Uhodiransomwar”发布了五天后拒绝谈判的公司的数据库下载链接。
5月20日,在XSS论坛上,LockBit勒索软件团伙账号“LockBitSupp”评论了FBI将Mikhail Matveev列入国际通缉名单的消息,他认为登上FBI荣誉榜“很酷”,并希望这样做。
Matveev被指控共谋传送赎金要求,共谋破坏受保护的计算机,以及故意损坏受保护的计算机。如果罪名成立,他将面临超过20年的监禁。
与此同时,美国财政部已将Matveev添加到其非法金融交易人员名单中。此外,美国国务院悬赏1000万美元逮捕和/或起诉马特维耶夫,但只要他继续居住在俄罗斯,他就不太可能面临这两种情况。
花了十年时间,但美国官员终于揭开了“Try2Check”运营开办者的面纱。2023年4月18日,根据联邦起诉书,纽约东区对丹尼斯·库尔科夫 (Denis Kulkov) 发出逮捕令,指控他犯有访问设备欺诈、计算机入侵和洗钱罪。
美国政府周三宣布,它已经摧毁了“Try2Check”,这是一个信用卡有效性检查网站,在暗网与明网均可以访问。“Try2Check”平台迎合了在互联网上批量购买和出售被盗信用卡号码的网络犯罪分子,使犯罪分子能够快速确定有多少百分比的卡是有效和活跃的。
根据宣誓书,”Try2Check“是被盗信用卡信息交易的主要推动者,每年至少处理数千万个卡号。美国政府与德国和奥地利的合作伙伴合作,关闭了“Try2Check”的网站,从而瓦解了被告的犯罪网络。除了起诉书和全球网站域名关闭外,美国国务院还宣布悬赏1000万美元,征集能抓获居住在俄罗斯的库尔科夫的信息。
”Try2Check“网站的开办者曾经在臭名昭著的暗网黑客论坛Exploit.in与Xss.is里发布广告推广其暗网与明网的网站,“暗网下/AWX”访问发现,这些广告帖子目前仍然可以访问,详情如下:
We are back public with our completely re-made Try2CheckMe Services!
What’s new:
Speed of checking process for your cards and dumps increased x100! New methods to make bank believe it’s legit transactions Real world merchants only! No donations, no test accounts, no fake. More formats for lists of your cards: CVV / AVS / Cardholder Name Auto payment system New faster and easy-to-use API Bin database Real working reports about bins from other users Revised user panel interface Telegram bot Registration is FREE Web: https://try2services.
BreachForums是一个在暗网与互联网同时可以访问的论坛,为数以千计的网络犯罪分子交换和转售数据,该网站托管了近1000家公司和网站的被盗数据库,这些数据库通常包含个人信息,例如姓名、电子邮件和密码。该网站的管理员被美国联邦调查局(FBI)逮捕。
联邦调查局已经逮捕了最有名的黑客论坛BreachForums的管理员:康纳·布赖恩·菲茨帕特里克(Conor Brian Fitzpatrick),别名”Pompompurin“,3月15日星期三在纽约州皮克斯基尔(Peekskill)的家中被美国联邦警察逮捕。这位年轻人承认创建了该网站,该网站已成为黑客和网络犯罪社区的主要平台和市场。
据FBI特工John Longmire称,2021年皮克斯基尔高中毕业生Conor Brian Fitzpatrick因泄露个人数据和管理BreachForums(出售该数据的论坛)而被捕。
“暗网下/AWX”发现,自从“Pompompurin”于2022年3月14日推出该论坛以来,BreachForums才刚刚庆祝成立一周年。这个新的数据泄露网站已经成功取代RaidForums这个历史悠久的数据交流网站,RaidForums在其创建者于2022年1月被捕后关闭。与它的前身一样,BreachForums在网络上可以简单使用,只要创建一个账户就可以讨论和浏览许多帖子。该网站很快吸引了大量黑客,接管了许多以前在RaidForums上发布的数据库。
免费访问也促成了它的流行,许多网络犯罪分子青睐这个平台,以快速出售被盗的数据库。”Pompompurin“管理着这个论坛,并积极鼓励在那里发生的黑客攻击和数据泄密活动,2022年最大的泄漏事件都是在RaidForums上出售的。
Pompompurin面临一项入侵计算机系统的指控,目前已经被保释 总共有1000多个从公司窃取的数据库被出售或干脆在论坛上免费发布。该平台成为黑客社区的一个交流中心:许多人去那里讨论和了解最新的网络新闻。
该网站管理员”Pompompurin“本人也参与了网络犯罪活动。2021年11月,他声称对联邦调查局的一个项目的渗透负责。Conor Brian Fitzpatrick也因论坛成员的“信用”而自己提供资金。为了能够不受限制地发表文章,有必要向该平台支付小额资金。这个年轻人目前只面临一项指控::“准备实施侵入计算机系统的犯罪”。他在纽约州怀特普莱恩斯的联邦法院被传讯,并以30万美元的保释金获释,保释金由他的父母签字。
BreachForums依然可以访问,Baphomet宣布接管BreachForums 目前BreachForums论坛的暗网与明网地址仍可以正常访问,在论坛上,人们已经对这次逮捕的后果猜测了十几个小时。
一个新的管理员“Baphomet”(个人网站:https://baph.is/,Telegram:@Enemy,邮箱: [email protected])已经接管了该网站,3月18日晚上,他说,“我认为可以肯定地假设他[Pompompurin]不会回来,所以我要接管论坛。我有大部分(如果不是全部)必要的权限来保护BF的基础设施和用户。[……]我一直在监控一切,并查看所有的账户,看看在Breached基础设施中是否有任何访问或变化。到目前为止,还没有发现这样的情况。”
“Baphomet”发表一篇帖子:重要公告-Pompompurin:
虽然我已经怀疑是这种情况,但现在已经证实,Pom已经被逮捕。
https://news.bloomberglaw.com/privacy-and-data-security/dark-web-breachforums-operator-charged-with-computer-crime
我想可以肯定的是,他不会再回来了,所以我将接管这个论坛的所有权。我有大部分,甚至是所有必要的权限来保护BF的基础设施和用户。
在将近24小时不活动的情况下,我几乎已经做出了最坏的打算。Pom不经常长时间离开,而且他总是提前让我知道是否会出现这种情况。他也从来没有在Telegram、Element和论坛上同时不活动这么长时间。在那个时候,我决定取消他对所有重要基础设施的访问,并限制他的论坛账户仍然可以登录,但不能进行任何管理员操作。从那时起,我也一直在不断地监控一切,并通过每条日志来查看任何对被破坏的基础设施的访问或修改。到目前为止,还没有看到类似的情况。
我现在不能给每个人答复,因为我正在为论坛的应急计划做下一步的工作。请耐心等待,并尽量不要失去理智。
我对LE或任何媒体的唯一回应是,我目前对自己没有任何担忧。从第一天起,OPSEC就是我关注的重点,幸运的是,我不认为任何美洲狮会在我的小渔船上攻击我。
一些人认为该站点可能会存活下来,因为Pompompurin的计算机没有被没收。然而,RaidForums在管理员被捕仅三个月后就被关闭了。
BreachForums论坛发布了大量的被盗数据 2022年9月,BreachForums论坛上的一篇帖子声称正在出售新加坡电信旗下Optus公司的数据,其中包括电子邮件地址、出生日期、名字和姓氏、电话号码、驾驶执照和护照号码。同月,名为“sspX”的帐户发布“来自印度尼西亚社会事务部的印度尼西亚公民数据库”,该文件被认为来自印度尼西亚社会事务部的最新数据,更新至2022年9月,包含85GB的数据,数据量总计102,533,211条。
2022年10月,巴基斯坦敏感的政府事务和总理与其政府成员之间的私人对话的信息显然已被泄露并在BreachForums论坛上出售,这是巴基斯坦历史上最大的数据泄露事件。
2022年11月,一名黑客在BreachForums论坛上发布了一则广告,声称他们正在出售一个包含4.87亿WhatsApp用户手机号码的2022年的数据库。
2023年2月,自称为“Seize”的威胁行为者在BreachForums论坛上出售一个电子邮件数据库,声称包含加拿大最大的电信供应商之一Telus每位员工的电子邮件地址。
2023年3月,美国国会议员和工作人员的健康数据和其他个人信息在DC Health Care Link运行的服务器遭到网络攻击后被盗,并正在BreachForums论坛上出售。
BreachForums论坛暗网与明网地址 BreachForums论坛暗网地址:
http://breached65xqh64s7xbkvqgg7bmj4nj7656hcb7x4g42x753r7zmejqd.onion/
BreachForums论坛明网地址:
https://breached.vc/
美国官员周四宣布,联邦调查局(FBI)查封了一个名为Hive的臭名昭著的勒索软件团伙使用的计算机基础设施,其用来发布受害者信息与入侵证据的暗网网站已经被显示为FBI的设置的gif横幅图片。
臭名昭著的Hive勒索软件团伙 自2021年6月以来,Hive勒索软件团伙已向全球各地80多个国家/地区的医院、学校、金融公司和关键基础设施等1500多名受害者勒索数亿美元。FBI将Hive列为5大勒索软件威胁之一——无论是因为它的技术复杂性,还是因为它可能对受害者造成的伤害。
Hive勒索软件攻击已经对世界各地的受害企业的日常运作造成了重大干扰,并影响了对COVID-19新冠疫情的应对。在一个案例中,一家被Hive勒索软件攻击的医院不得不采用传统的模拟方法来治疗现有患者,并且无法在攻击后立即接收新患者。
Hive勒索软件团伙使用勒索软件即服务(RaaS)模式,其中包含管理员(有时称为开发人员)和分支机构。RaaS是一种基于订阅的模式,开发人员或管理员开发勒索软件,并创建一个易于使用的界面来操作它,然后招募分支机构对受害者部署勒索软件。分支机构确定目标并部署这种现成的恶意软件来攻击受害者,然后从每次成功的赎金支付中赚取一定比例。在受害者付款后,分支机构和管理员将赎金分成进行八二分成,即分支机构可以赚取80%,而管理员可以分到20%。
Hive勒索软件团伙的分支机构采用了一种双重勒索的攻击模式。首先,他们渗透了受害者的系统,在加密受害者的系统之前,分支机构将传出或窃取敏感数据。接下来,分支机构部署恶意软件,加密受害者的系统,使其无法使用。最后,该团伙寻求受害者支付赎金,以获得解密受害者系统所需的解密密钥,并承诺不公布被盗数据。Hive勒索软件团伙经常针对受害者系统中最敏感的数据来增加支付压力,Hive通过其部署在暗网里的Hive泄密网站公布了不付款的受害者的数据。
Hive分支机构的目标是关键基础设施和美国一些最重要的行业。
在2021年8月的一个案例中,Hive分支机构在美国中西部一家医院拥有的计算机上部署了勒索软件。当COVID-19新冠疫情在世界各地的社区中激增时,Hive勒索软件攻击使这家医院无法接收任何新患者。医院还被迫依赖患者信息的纸质副本。它只有在支付赎金后才能恢复其数据。
Hive勒索软件团伙在加利福尼亚州中区的最新受害者是在去年12月30日左右被攻击的。它在佛罗里达州中区的最新受害者是在大约15天前被攻击的。在运营的第一年,Hive向受害者勒索了超过1亿美元的赎金,其中许多是医疗保健行业。
联邦调查局渗透了Hive勒索软件团伙的网络 去年夏天,来自坦帕分部的联邦调查局特工在刑事分部计算机犯罪和知识产权科以及佛罗里达州中区检察官的支持下渗透了Hive勒索软件团伙的网络,并开始破坏Hive勒索受害者的企图。
例如,FBI破坏了针对德克萨斯学区计算机系统的Hive勒索软件攻击。该局向学区提供解密密钥,使其免于支付500 万美元的赎金。
同月,FBI阻止了对路易斯安那州一家医院的Hive勒索软件攻击,使受害者免于支付300万美元的赎金。
FBI还成功阻止了对一家食品服务公司的攻击。该局向该公司提供了解密密钥,并使受害者免于支付1000万美元的赎金。
自去年7月以来,FBI向全球300多名受害者提供了援助,帮助阻止了大约1.3亿美元的赎金支付。
联邦调查局局长Christopher Wray在新闻发布会上表示,自7月以来,FBI官员对所谓的Hive勒索软件组织的计算机网络进行了反击,拥有了他们的最高的访问权限,盗取了他们的解密密钥,并将其传递给受害者,最终避免了超过1.3亿美元的赎金支付。FBI将继续使用任何可能的手段对网络犯罪进行反击。
自2022年7月潜入Hive的网络以来,联邦调查局已经向受到攻击的Hive受害者提供了300多把解密密钥。此外,联邦调查局还向以前的Hive受害者分发了超过1000个额外的解密密钥。最后,该部门今天宣布,在与德国执法部门(德国联邦刑事警察和Reutlingen警察总部-CID Esslingen)和荷兰国家高科技犯罪小组的协调下,它已经控制了Hive用来与其成员沟通的服务器和网站,破坏了Hive攻击和敲诈受害者的能力。
Hive勒索软件团伙的暗网网站被查封 Hive勒索软件团伙使用一个暗网网站来发布受害者信息与入侵证据,该网站的暗网域名是:http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion。
托管Hive暗网网站、并存储其网络关键信息的两台位于洛杉矶的后端服务器已被FBI找到并没收。FBI还获得了法院的授权,可以夺取对Hive暗网站点的控制权并使其服务不可用。
目前,访问Hive的暗网网站,出现一个大的gif图片,跳动着分别用俄文和英文显示如下信息:
联邦调查局查封了这个网站,作为联邦调查局、特勤局和许多欧洲政府机构针对Hive Ransomware的协调执法行动的一部分。
美国司法部副部长Lisa O. Monaco告诉记者:“简单地说,我们使用合法手段攻击了黑客。”
美国正在加紧对勒索软件团伙的打击 周四的公告是司法部一系列打击海外勒索软件团伙的最新举措,这些团伙锁定美国公司的计算机,破坏了他们的运营,并要求数百万美元解锁系统。司法官员没收了数百万美元的勒索软件付款,并敦促公司不要向犯罪分子付款。
在2021年5月,由于疑似俄罗斯网络犯罪分子的勒索软件攻击,向东海岸输送燃料的主要管道运营商Colonial Pipeline关闭了好几天,勒索软件的流行对美国官员来说变得更加紧迫。由于人们囤积燃料,这次中断导致多个州的加油站排起了长队。
尽管勒索软件经济仍然有利可图,但有迹象表明,美国和国际执法部门的严厉打击正在削弱黑客的收入。根据加密货币跟踪公司Chainalysis的数据,2022年勒索软件收入从2021年的7.66亿美元降至约4.57亿美元。
网络安全专业人士对Hive被攻破表示欢迎,但一些人担心,另一个组织将很快填补Hive留下的空白。
谷歌旗下网络安全公司Mandiant的副总裁John Hultquist告诉CNN:“Hive服务的中断不会导致整体勒索软件活动的严重下降,但它对一个通过攻击医疗系统而危及生命的危险组织是一个打击。”
Hultquist说:“不幸的是,处于勒索软件问题核心的犯罪市场确保了Hive的竞争对手将在他们不在的情况下随时提供类似的服务,但他们在允许他们的勒索软件被用于攻击医院之前可能会三思而后行。”
联邦调查局局长Christopher Wray表示,联邦调查局将继续追踪Hive勒索软件背后的人,并试图逮捕他们。目前尚不清楚这些人所在的位置。卫生与公众服务部将Hive描述为“可能说俄语”的群体。
FBI的调查以及Hive网络攻击的技术方法 2022年7月,FBI根据联邦搜查令,首先获取了Hive数据库的访问权限,能够识别所有的受害者并获取对应的解密密钥。FBI将这些解密密钥分发给了世界各地的受害者,收到这些密钥的受害者证实,他们已经感染了Hive勒索软件,并且他们能够使用这些解密密钥解锁他们的文件。
2023年1月11日,美国调查人员获得了位于加州洛杉矶的两个服务器和一个VPS的镜像。同时荷兰警方也获取了两台荷兰服务器的同步备份镜像。服务器上均有Hive的三个暗网网站的代码数据和泄漏站点数据的副本。
此外,据美国网络安全和基础设施安全局(CISA)称,Hive勒索软件团伙的分支机构通过多种方法获得了对受害者网络的初始访问权,包括:通过远程桌面协议(RDP)、虚拟专用网络(VPN)和其他远程网络连接协议的单因素登录;利用FortiToken漏洞;以及发送带有恶意附件的钓鱼邮件。
联邦调查局(FBI)以某种方式获得了据称访问暗网ISIS相关网站的人的IP地址。美国司法部(DOJ)正在阻止对这一问题的讨论进入公开日程。
根据Motherboard查阅的法庭记录,美国政府的律师正在阻挠一些努力,这些努力可能会揭示联邦调查局(FBI)如何设法在暗网上获得ISIS网站的一个疑似访问者的真实IP地址。
此案涉及Muhammed Momtaz Al-Azhari,他于2020年5月被指控试图向ISIS提供物资支持。根据对他的指控,Al-Azhari涉嫌于2019年5月14日多次访问了一个托管“与ISIS相关的非官方宣传和照片”的暗网网站。由于是一个暗网网站——也就是说,一个托管在Tor匿名网络上的网站——一般而言,网站所有者或第三方应该很难确定该网站任何访问者的真实IP地址。
然而,这正是FBI所做的。FBI发现Al-Azhari据称是从一个与Al-Azhari在加利福尼亚州里弗赛德的祖母家有关的IP地址访问了该网站。FBI还确定了Al-Azhari访问了哪些特定页面,包括关于捐赠比特币的部分;另一个页面是ISIS战士在伊拉克、叙利亚和尼日利亚开展的军事行动;另一个页面提供了ISIS媒体部门材料的链接。如果FBI没有部署某种形式的监视技术,或者Al-Azhari使用其他方法访问该网站,从而暴露了他们的IP地址,这应该是不可能做到的。
现在,在最近的一系列文件中,司法部的律师不会说明该机构是如何访问Al-Azhari的IP地址的,并且正在阻止对这个问题的讨论进入公众议程。
负责此案的辩护律师兰德斯(Samuel E. Landes)在周二公布的文件中写道:“在取证过程中,政府拒绝提供任何与TOR操作有关的信息。”
这一消息突出表明,尽管黑客工具在各种类型的刑事调查中变得越来越流行,但是美国司法部对其使用的黑客工具仍然是高度保密的。这种保密的连锁反应可能是,被告无法获得有关他们如何被识别的详细信息,也没有机会有效地质疑其法律依据。在某些情况下,检察官也失去了定罪的机会,因为他们认为保守工具的秘密比打赢官司更重要。
兰德斯在周二提交的动议中写道,政府检察官已经成功地要求他将更多信息列为“高度敏感文件”。这一指定用于敌对外国政府情报机构可能感兴趣的文件,外国政府使用这些文件可能会造成重大损害。兰德斯最新提交的文件是随后的一项动议,要求法院重新考虑他之前的动议。
兰德斯指出,FBI使用网络调查技术(NITS)(司法部对黑客工具的委婉说法)远非秘密,多年来已在多起案件中使用过。他说,他还发现了一份在其他类似问题的案件中提交的证据,并且在互联网上随处可见。兰德斯写道,尽管这些信息是公开的,但政府要求法院将强制执行的动议视为高度敏感的文件处理。
美国司法部拒绝发表评论。
在其他案件中,司法部决定完全停止追求定罪,而不是向被告提供更多关于他们是如何被识别的信息。2015年,FBI接管了一个暗网虐待儿童网站,并识别了数千名访问者。虽然该行动最终确实对许多人定罪,但检察官拒绝遵守法院向辩护团队提供NIT利用代码的命令。作为回应,法官抛弃了证据,扼杀了这个案子。NIT基于一个“非公开”漏洞。
一名18岁的里斯本大学学生上周四被葡萄牙警察逮捕,他涉嫌恐怖主义犯罪,因为他几个月来一直计划袭击里斯本大学科学学院的同学。司法部门所说的”恐怖行动“被安排在上周五进行,这一天,这个年轻人被提交给中央刑事调查法庭的法官,该法庭将采取强制措施。袭击事件之所以没有发生,只是因为司法部门提前进行了干预。
据称该学生正准备对他所在大学的科学系进行恐怖袭击,“旨在尽可能地杀死更多的人”。他“想要模仿”美国大学校园里发生的大屠杀。
美国联邦调查局通过暗网上的在线聊天室对话(他们在正在进行的打击国际恐怖主义的“战争”中理所当然地监控这些对话)发现了这一阴谋的线索,随即通知了葡萄牙警方。
据美国有线电视新闻网(CNN)报道,联邦调查局传递的信息表明,袭击将在明天(星期五)发生,这也是葡萄牙警察迅速采取行动的原因。
警方的一份公报说,通过上周四凌晨进行的搜查,“警方查获了大量证据,证实了最初的怀疑。除了各种非法武器之外,还发现了其他可能用于实施暴力犯罪的物品——大量的文件,包括一份书面计划,其中包括将要发起的犯罪行动的细节”。警方公告中将其中一些武器描述为“刀具、砍刀、钢镖、弓弩”。没有发现枪支,但发现了易燃材料,例如汽油和瓦斯,司法机构认为这些材料可用于引起爆炸。
目前,人们认为其动机不是宗教因素——更多的是对暴力的强烈渴望。
据称,联邦调查局在监控暗网的过程中发现,这名出生在巴塔利亚(莱里亚市)的年轻人说他想在葡萄牙实施恐怖活动。
CNN的司法编辑Henrique Machado一直在他的电台上谈论这个学生对暴力的“病态迷恋”,以及这一事件如何“在葡萄牙史无前例”。到目前为止,该国基本上没有发生过恐怖事件,而且恐怖袭击事件为零。
他补充说,葡萄牙警方的恐怖主义作战队伍已经在日以继夜的工作,以识别没有以真名出现在网上的学生。必须通过IP地址进行追踪溯源其他潜在恐怖分子,并且“不分昼夜”。
据了解,这名学生本人是位于坎波格兰德的计算机科学系的学生,性格谨慎内向,没有犯罪记录。他被拘留了一夜,并被带到法官面前接受审问。
高等教育机构的管理层解释说,这种情况对里斯本大学的理学院没有影响,该年轻人正在那里学习,并计划在那里实施袭击,该学院继续正常运作。学校在一份声明中说:“当局开展的工作一直让科学界的安全得到保障,没有也没有任何迹象表明建议改变学校的正常运作。”
在葡萄牙,这似乎是一个前所未有的情况。“调查是由怀疑针对里斯本大学学生的攻击而引发的。鉴于疑点的严重性,调查被列为最优先事项,这使周四凌晨能够中断正在进行的犯罪活动。”葡萄牙警察在一份声明中说,并解释说一名18岁的年轻人因持有数件违禁武器而被当场逮捕。