Ramp4u

名为“CryptNet”的来自俄罗斯的新勒索软件服务首次亮相,宣称勒索成功后其要求的收益分成比例最低

其他国家动态, 暗网动态
又是新的一天,另一个新的勒索软件团伙出现了:在暗网的俄语角落里发现的最新威胁行为者称为“CryptNet”。 ZeroFox公司的网络安全侦探在暗网论坛RAMP上发现了这一情况,一个名为“shrinbaba”的威胁行为者在暗网论坛里发布了新的勒索软件即服务(RaaS)的“广告”。 ZeroFox说:“CryptNet被宣传为具有快速且完全不显眼的各种特性和功能,例如删除卷影副本和禁用备份服务的能力,以及无需互联网连接即可离线加密,和一个用于谈判的聊天面板。” “shrinbaba”发布的广告帖子称: CryptNet勒索软件正在寻找有域渗透经验的熟练渗透测试人员 通过加入我们,你将拥有世界上最快的勒索软件。您还将拥有 1.完全无法检测的勒索软件 2.独特的离线加密 3.使用AES和RSA的间歇性加密(世界上最快的加密方式) 4.删除影子副本 5.禁用备份服务 6.关于你的客户的统计数据 7.用于谈判的聊天面板 加入我们团队的好处 我们没有国家限制。 你将在每笔付款中获得90%的利润。 你将得到谈判的支持 “shrinbaba”在该帖子下留下了自己的Tox号码。 ZeroFox认为,CryptNet已经取得了几个勒索软件的攻击进展,上个月底确认了两名受害者。 勒索软件是一种恶意软件,被互联网犯罪分子用来渗透和勒索目标公司,然后向这些公司收取“费用”,以换取他们返回数据并保守秘密。 在这种情况下,CryptNet向在成功攻击中使用其闪亮的新非法勒索软件的任何人提供90%的分成。这表明,该技术背后的人类操作员可能属于网络犯罪分子的“超级聪明”类别,他们乐于设计这些工具,并让其他人利用它们来勒索组织。 ZeroFox表示:“这是RaaS市场中附属机构可以获得的最高分成份额之一,附属机构通常从大多数勒索软件团伙那里只能获得60-80%的份额,”并补充说CryptNet声称它还将在赎金谈判期间提供支持。 它补充说:“虽然原始帖子表示对可以作为目标的国家没有限制,但在另一位论坛成员的质疑后,这一说法随后从原始帖子中删除。” ZeroFox认为,这种说法很可能已被编辑掉了,因为它暗示俄罗斯也可以成为使用CryptNet勒索软件的目标——这通常是讲俄语的团伙中的一大禁忌,因为他们的非法活动只要不攻击祖国,就可以在这个被抛弃的超级国家中享有实际上的豁免。 该威胁行为者“shrinbaba”还在另外一个帖子里决定出售一个名为“Stealer”的源代码,出售的原因是他正在做另一个项目。“shrinbaba”称: Stealer完全从头开始重写。用C++写在.NET上,不依赖.NET版本。在v143工具集下构建,没有CRT,本地x86可执行。可执行文件重量:230kb(UPX下约100kb)。 在操作系统Windows 7 – Windows 11(Windows Server 2008 R2 – Windows Server 2022的服务器版本)上运行,位深并不重要。 通过它自己的协议在TCP上与套接字上的服务器工作。所有的信息都是通过服务器生成的每台机器的唯一密钥,以加密的形式传送到服务器和从服务器传送出来。 分发模式是对一个时间段的订阅。订阅结束后——仍然可以使用搜索日志、下载日志和查看统计数据,其他的都关闭了。

2023年为网络犯罪分子打造的俄罗斯三大顶级暗网论坛

域名, 暗网网站, 独家报道
网络犯罪论坛为网络犯罪者提供了一个协调、交换信息和进行非法交易的渠道。这些论坛通常托管在暗网上,但部分论坛也可以通过明网访问,是恶意活动的中心。网络犯罪论坛的典型结构包括一个专门的交易市场部分,为出售被盗证书、勒索软件即服务和恶意软件提供便利,而一个单独的部分则保留用于一般的网络犯罪讨论。 众所周知,俄罗斯是名副其实的网络犯罪活动之都。最近的分析表明,74%的勒索软件收入流向了与俄罗斯有联系的威胁行为者。除了以营利为目的的网络犯罪之外,俄罗斯在开展国家支持的网络战方面也有着有据可查的历史。 从威胁情报的角度来看,监控暗网中的网络犯罪论坛有助于监测企业即将发生的攻击的迹象,或者揭露出售的用户凭据,然后可以被渗透之前预先重置他们的帐户。本文“暗网下/AWX”介绍了2023年值得关注的暗网中的俄罗斯三大顶级网络犯罪论坛,企业需要重点对这些暗网论坛进行监控。 Exploit.in Exploit.in是运行时间最长的暗网黑客论坛之一,早在2005年就已启动。顾名思义,该站点的最初目的是为恶意行为者提供一个讨论各种漏洞的有效利用Exp的地方。Exploit.in自然地演变为包含关于其他类型的网络犯罪活动的讨论的论坛,从社会工程技术到破解密码算法的教程。 该论坛是一个以俄语为主的论坛,有一个市场板块,网络犯罪分子在这里交易被盗的信用卡信息、恶意软件,甚至是零日漏洞。Exploit.in还作为一个网络犯罪新闻网站。有趣的是,这个论坛既可以通过表网上的标准互联网浏览器访问,也可以使用Tor浏览器通过暗网访问。 但是,要访问论坛和参与讨论,威胁行为者要么支付100美元的自动访问费用,要么他们可以尝试获得免费访问权限,条件是他们已经在其他“友好”论坛上建立了声誉。虽然这些条件在技术上使Exploit.in成为一个封闭的论坛,但100美元的费用不太可能阻止公司注册虚假账户以监控威胁情报。 Exploit.in的明网地址: https://exploit.in/ Exploit.in的暗网地址: https://exploitivzcm5dawzhe6c32bbylyggbjvh5dyvsvb5lkuz5ptmunkmqd.onion XSS.is XSS.is是另一个封闭的俄语论坛,可以在明网和暗网上访问。管理员承诺使用各种安全和匿名功能来保护注册用户,包括禁用所有用户登录和用户操作的IP地址日志,以及实施加密的私人消息。在XSS.is上注册没有太多障碍——新用户只需输入有效的电子邮件、回答基本的网络安全问题,然后等待网站管理员的批准。 XSS.is上的内容涉及凭证访问、漏洞利用和有价值的零日漏洞的讨论和交易,这些漏洞不存在安全补丁。XSS.is上的其他独家私人部分需要付费才能访问。此前,XSS.is被广泛用于为勒索软件即服务团伙招募成员,但论坛管理员在2021年禁止了勒索软件话题。 这个俄罗斯网络犯罪论坛的名称源于一种称为跨站点脚本的Web应用程序漏洞。该网站从2013年开始被称为DaMaGeLaB,直到2018年一名管理员被捕,之后它被重新命名为XSS。 XSS.is的明网地址: https://xss.is/ XSS.is的暗网地址: https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion RAMP 2.0 2021年RAMP 2.0(俄罗斯匿名市场)论坛的成立有一个有趣的背景故事,它是在臭名昭著的勒索软件团伙Babuk之前使用的域上启动的。 Babuk勒索软件行动对华盛顿特区大都会警察局和休斯顿火箭队的篮球队进行了勒索软件攻击。Babuk的威胁者以前曾使用这个暗网洋葱域名,在受害者拒绝屈服于他们的勒索要求时发布被盗数据。 从2012年到2018年,RAMP的前一个版本存在于一个不同的域名上,但它更多地是围绕着购买和销售非法产品。俄罗斯执法部门关闭了RAMP的第一个版本,但出现了一个新版本,重点是网络犯罪。受欢迎的论坛板块包括赎金软件集团的合作伙伴计划,恶意软件板块,以及另一个专门出售企业账户访问权的板块。 注册RAMP 2.0需要成为Exploit和XSS的活跃会员至少两个月。要进入RAMP 2.0,在这两个论坛的良好声誉也是必不可少的。论坛的语言选择已经从单纯的俄语发展到现在包括普通话和英语。 RAMP 2.0的明网地址: https://ramp4u.io/ RAMP 2.0的暗网地址: http://rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion