HackerNews 编译，转载请注明出处： 美国最大动漫及漫画出版商 Viz Media 一名高管据称遭黑客攻击。此次攻击导致数百 GB 企业数据被下载，其中包括员工凭证。 攻击者在某地下数据泄露论坛发布了攻击声明，该论坛常被 “初始访问中介” 使用。这类网络犯罪分子专门交易企业系统的访问权限。他们声称已入侵该公司副总裁账户，并窃取超 250GB 敏感数据。 Viz Media 是美国最大的图画小说出版商，隶属于日本制作公司 “小学馆 – 集英社制作”（Shogakukan-Shueisha Productions）。其旗下热门作品包括《火影忍者》《鬼灭之刃》《死亡笔记》《美少女战士》等。 与此同时，Cybernews 研究团队对攻击者的帖子展开调查，发现他们很可能仅入侵了单个用户的账户。由于目标是公司高层人员，这一账户为他们提供了访问公司系统的广泛权限。 研究人员表示：“该高管可能遭遇了社会工程学攻击，进而导致公司内部系统被未授权访问。” 团队指出，遭入侵的员工显然有权访问大量公司特权数据及资源。因此 Viz Media 需迅速采取行动，梳理攻击者窃取的数据范围。 研究团队补充道：“仅就数据窃取这一行为而言，攻击者就可能借此入侵公司更多系统，甚至向公司合作伙伴发送具有迷惑性的钓鱼邮件。” 从攻击者提供的数据样本来看，他们已获取 Viz Media 多个敏感公司系统的访问权限，包括企业谷歌云盘（Google Drive）、Gmail 账户、公司内部控制面板、遭入侵员工的身份凭证，以及 Mediabox 版税管理控制面板的访问权限。 攻击者声称，他们窃取了极高敏感度的企业信息，具体包括： 所有电子邮件 保密协议（NDA） 授权协议 员工凭证 商业计划 员工社会保险号码 毋庸置疑，恶意攻击者一旦获取这类数据，可能对企业造成严重的财务损失与声誉损害。 不过，发帖者目前仅公布了数据样本，正试图出售剩余数据及访问权限，要价为未公开的五位数金额。 若此次攻击属实，将成为 “权限管理重要性” 的典型案例，也印证了为何攻击者常将目标锁定在拥有广泛系统访问权限的企业高管身上 —— 入侵一人，便可打开多个敏感系统的 “大门”。 总部位于旧金山的 Viz Media 自称是美国最受欢迎的漫画平台，也是业内知名动漫品牌的主要分销商。公开记录显示，该公司年收入介于 4000 万至 1 亿美元之间，员工人数超 300 人。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。 近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。 其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。 另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。 加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。” 为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。 根据加拿大网络安全机构的建议，相关主体应采取以下行动： 对所有可联网的工业控制系统设备进行全面盘点，并评估其联网必要性； 尽可能采用替代方案避免设备直接暴露在互联网中，例如使用带有双重认证（2FA）的虚拟专用网络（VPN）； 若上述方案不可行，应考虑采用强化监控服务，包括定期渗透测试与漏洞管理； 定期对员工开展培训，提升其在网络安全事件中的应对能力； 市政部门及相关机构应与服务提供商紧密合作，确保托管服务的安全部署，并遵循供应商建议与指导方针，保障设备及服务安全。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦多部门正联合支持一项提案，计划禁止TP-Link 家用路由器在美销售，理由是该厂商被指仍与前中国母公司存在紧密关联。 据《华盛顿邮报》报道，美国商务部已正式提出这一禁售建议。消息人士透露，该提案获得了美国国防部、国土安全部及司法部的支持。 指控理由 TP-Link Systems总部位于美国加利福尼亚，最初是从中国本土企业普联技术（TP-Link Technologies）分拆而来。 数据显示，该公司产品占据美国家用路由器市场份额的36%。且由于一些互联网服务提供商会捆绑TP-Link设备，实际份额可能更高。 美国商务部指控的理由有两个： 第一，该公司仍持有原中国母公司在华资产。 第二，路由器设备涉及美国敏感数据处理，或存安全隐患。 此外，据此，商务部怀疑该公司仍受中国政府的管辖或影响。 对此，TP-Link 美国公司明确否认所有指控，并表示过去三年已与中国母公司完成彻底拆分。 公司发言人里卡・西尔维里奥在声明中强调：“TP-Link 坚决驳斥任何有关其产品对美国国家安全构成威胁的说法，我们作为一家美国企业，始终致力于为美国及全球市场提供高品质、安全可靠的产品。” 未来走向 目前，该提案仍需美国商务部最终签署生效，且不排除被否决的可能。 近期，中美两国领导人会晤后，双方达成了为期一年的贸易休战协议。 或许正因如此，《华盛顿邮报》指出，提案中预留了协商空间：TP-Link 美国公司可通过提交一份令政府满意的解决方案，来避免禁令生效。美方的核心诉求是获得明确保证：产品的关键软硬件研发过程，不得受到中国方面的任何影响。 这一情节与 TikTok 的命运轨迹颇为相似。TikTok 的母公司字节跳动总部位于中国，此前特朗普政府在获得国家安全相关承诺后，允许该应用继续在美国运营，中国方面也已批准相关协议；此外，TikTok 还需将其核心算法复制后，利用美国用户数据重新训练。 根据美国相关法律，若商务部长认定某款受外国影响的技术存在安全风险，商务部有权提出风险缓解方案。但在 TP-Link 一案中，官员们认为，除全面禁售外，任何缓解措施都无法达到安全要求。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名政府技术服务商Conduent本周向多个州政府通报，今年1月发生的网络安全事件导致超过1000万人的个人信息面临泄露风险。 根据数据泄露通知文件，Conduent调查发现黑客在2024年10月21日至2025年1月13日期间持续访问公司网络，窃取了与该公司在美国多州业务相关的大量文件。该公司表示：”发现事件后，我们安全恢复了系统运营，并已通知执法部门。” Conduent与州政府签有数十份合同，为医疗补助、儿童抚养、食品援助、道路收费等项目提供技术支持。该公司每年处理约850亿美元的政府支付款项，完成23亿次客户服务交互。公司声明其”为美国政府各类健康项目中的约1亿居民提供支持，协助州和联邦机构在降低成本的同时提供关键服务”。 目前已确认的具体影响包括： 得克萨斯州：超40万人，涉及社保号码、医疗信息和健康保险数据 华盛顿州：约7.6万人 南卡罗来纳州：约4.8万人 新罕布什尔州：超1万人 缅因州：378人 公司还在俄勒冈州、马萨诸塞州、加利福尼亚州和新罕布什尔州提交了违规通知。 事件时间线与应对措施 2025年1月：公司向Recorded Future News承认因”第三方系统遭入侵”导致业务中断 2025年2月：SafePay勒索软件团伙声称窃取8.5TB数据 2025年4月：公司在SEC备案中确认黑客”窃取了与少量客户相关的文件集” Conduent已设立呼叫中心处理相关咨询，并将向信息泄露者发送通知信件。公司指出其网络安全保险将覆盖部分事件响应成本，并透露联邦执法机构已介入调查。 运营影响与财务成本 此次事件导致多日运营中断，威斯康星州儿童和家庭部曾向居民通报Conduent系统中断影响邮件支付处理。家长和受益人也向当地媒体抱怨支付困难，威斯康星州当时确认至少还有其他三个州同样面临影响电子转账或EBT卡支付的系统中断。 根据最新财报，Conduent上财季收入为7.54亿美元，为应对今年1月的网络安全事件已支出约200万美元用于”调查、修复和响应”。公司强调，据其所知”被窃数据尚未在暗网或公开渠道泄露”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为AdaptixC2的开源命令与控制框架正被越来越多的威胁行为体使用，其中部分与俄罗斯勒索软件团伙存在关联。 AdaptixC2是一款新兴的可扩展后渗透与对抗模拟框架，专为渗透测试设计。其服务端组件采用Golang编写，GUI客户端则使用C++ QT实现跨平台兼容性。该框架具备全加密通信、命令执行、凭证与截图管理、远程终端等丰富功能。 该框架的早期版本由GitHub用户”RalfHacker”于2024年8月公开发布，该用户自称是渗透测试员、红队操作员和恶意软件开发者。尽管AdaptixC2是作为道德红队活动的开源工具推出，但显然已引起网络犯罪分子的关注。 近几个月来，多家黑客组织已开始采用AdaptixC2，包括与Fog和Akira勒索软件行动相关的威胁行为体，以及一名在攻击中利用CountLoader投放多种后渗透工具的初始访问经纪人。 Palo Alto Networks旗下Unit 42团队上个月分析了该框架的技术特点，称其作为模块化多功能框架能够”全面控制受感染机器”，并已被用于通过Microsoft Teams实施的假冒技术支持诈骗以及通过AI生成的PowerShell脚本进行攻击。 网络安全公司Silent Push表示，RalfHacker在GitHub简介中自称”恶意软件开发者”的表述引起了他们的警觉。调查发现该账号所有者关联的多个GitHub账户邮箱，以及一个拥有超过28,000订阅者的Telegram频道“RalfHackerChannel”，该频道专门转发AdaptixC2相关消息。 在2024年8月AdaptixFramework频道的消息中，RalfHacker曾表示有兴趣启动一个”当前非常流行的公共C2框架”项目，并希望其能成为像Empire一样受欢迎的后渗透和对抗模拟框架。 尽管目前尚无证据表明RalfHacker直接参与与AdaptixC2或CountLoader相关的恶意活动，但Silent Push指出：”通过其使用Telegram进行营销推广，以及该工具随后被俄罗斯威胁行为体大量使用的情况，都显示出与俄罗斯犯罪地下世界的关联，这些现象均敲响了严重的安全警钟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大营销机构之一的日本跨国广告与公关公司电通集团近日发布公告，确认其美国子公司Merkle遭受网络攻击，导致员工及客户数据泄露。 根据公司发布的安全事件通知，电通集团表示：”我们在负责集团海外业务的客户体验管理子公司Merkle的部分网络中检测到异常活动。我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复运行。”作为应急响应计划的一部分，公司采取了将部分系统离线的措施以遏制攻击蔓延。 电通确认黑客从Merkle网络中窃取了文件，涉及供应商、客户和员工数据，包括个人信息、薪资资料和国家保险详细信息。公司正在通知受影响个体，并为其提供免费的暗网监控服务。 “调查发现某些文件从Merkle网络中被窃取。经审查，这些文件包含现任及前任员工的个人信息，”电通在声明中表示，”调查仍在进行中，但目前我们预计文件包括银行和薪资详情、工资、国家保险号码以及个人联系方式。” 公司声明其日本本土网络系统未受影响，但目前尚无法评估此次事件对业务造成的财务影响。截至2024年12月31日，电通集团拥有约67,667名员工。2024财年，公司报告合并营收为1.41万亿日元（按当前汇率约合102亿欧元）。 Merkle作为电通集团旗下美国营销与客户体验机构，专注于数据驱动型绩效营销，利用分析、技术和数字平台帮助客户优化体验并推动增长。该公司在全球拥有超过16,000名员工，年收入约15亿美元。 目前尚不确定此次事件是否为勒索软件攻击，截至目前尚无任何勒索组织声称对Merkle或电通遭受的攻击负责。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的知名勒索软件团伙再次发起攻击，此次声称已入侵日本连锁超市集团Super Value Co.，并在暗网上公开泄露了员工与财务数据。 涉嫌发动此次勒索软件攻击的Qilin团伙，已在其暗网泄露网站上将日本零售商Super Value Co.列为受害者。该超市主要在日本埼玉县及东京都市圈运营结合超市与家居中心的混合零售综合体，以及独立的食品超市。 攻击团伙在其泄露网站上提供了据称属于受害者的被盗数据样本，这是勒索攻击中威胁行为体常用的施压手段，旨在迫使公司支付赎金。 攻击者分享的数据样本中包含大量载有敏感信息的日文内部文件，涉及： 人力资源文件（暴露员工个人信息及雇佣数据） 安保密钥移交证明文件 绩效报告 工伤事故报告表 现金丢失事件报告表 薪资文件 财务报表（包括门店月销售额、盈利与亏损状况） 销售、产品订单及交货单日志 具体而言，人力资源文件泄露了员工的个人身份证号、全名、完整家庭住址、出生日期、年龄、性别、入职日期、雇佣类型（全职/兼职）、职位、部门/销售区域或工作地点、状态及离职/退休日期（部分记录）、电话号码、工作事故数据、工资及工作安排。 目前尚无法确认这些声称的真实性，以及数据是否确实属于该日本零售商。Cybernews已联系该公司，但尚未获得回复。 若数据被证实属实，将使公司及其员工面临欺诈和身份盗窃的风险。Cybernews研究人员指出：”就公司而言，这些样本主要揭示了其运营细节，可能将商业策略暴露给竞争对手。”此外，由于未包含员工个人联系方式，社会工程学攻击更可能针对公司而非个人展开。 Qilin是勒索软件领域的重要角色。这个与俄罗斯有关联的团伙以医院和制造业为攻击目标而闻名。该组织于2022年首次出现在勒索软件领域，但其暗网泄露网站声称其自2021年便开始运作。 自今年9月初以来，Qilin已列出超过88名受害者，在过去12个月内跃升为最活跃的勒索软件团伙。根据Cybernews内部监控工具Ransomlooker的数据，自2023年以来该团伙已声称入侵947名受害者。 本月，Qilin还声称入侵了德克萨斯州的电力合作社，并泄露了美国大型药房福利管理公司MedImpact的数据。该团伙近期对英国NHS合作伙伴Synnovis实验室的攻击造成了严重后果，导致医院被迫转移患者并取消超过1万个预约和手术。 值得注意的是，这个臭名昭著的俄罗斯相关团伙LockBit已与DragonForce和Qilin勒索软件组成联盟。专家认为，该联盟可能通过共享资源改进攻击策略并提高攻击频率。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ribbon是一家实时通信技术公司，为全球企业及关键基础设施领域，提供安全云通信、IP 及光网络解决方案。 其总部位于美国得克萨斯州，服务用户涵盖电信、银行、政府等领域的数十家大型企业，美国国防部也包括在列。这一背景使得此次国家级攻击更具威胁性。 攻击者潜伏近一年 10月23日，Ribbon在提交给美国证券交易委员会的第三季度财报（10-Q 文件）中首次披露了此次数据泄露事件。 文件第 57 页“网络安全事件披露” 部分写道：“2025 年 9 月初，公司发现有国家级未授权威胁行为体入侵了公司的 IT 网络。” 公司初步分析显示，攻击者的首次入侵可追溯至2024年12月。不过，关于初始入侵时间的最终结论，仍需等待完整的调查结果来盖棺定论。 Barrier Networks 公司首席技术官瑞安・麦科尼奇表示：“此次大型电信提供商遭遇攻击，进一步证明网络世界已成为所有对手的首选‘战场’。” 他指出：“我们尚不清楚幕后是哪个国家，也不知道他们的攻击手法，但黑客在被发现前已潜伏近一年，这一事实着实令人担忧。” 风险声明 Ribbon 的产品主打帮助用户将固定、移动及企业网络，从传统环境转型为安全的 IP 及云架构。其客户及合作伙伴包括： 电信服务商：威瑞森、美国电话电报公司、康卡斯特、英国电信、世纪互联、德国电信、软银、TalkTalk、塔塔集团等。 政府与公共机构：美国国防部、洛杉矶市、得克萨斯大学。 金融机构：美国银行、摩根大通、富国银行。 技术合作伙伴：帕洛阿尔托网络、慧与、英特尔、爱立信、飞塔以及 F5 Networks。 Ribbon声明称：“网络安全是客户网络的首要关切，物品们始终重视与客户的长期合作”。 得知入侵后，公司 “立即启动事件响应计划，联系联邦执法部门，并联合多家第三方网络安全专家开展调查”。 Ribbon 还表示，已成功将威胁行为体驱逐出网络，“截至目前的调查，未发现黑客访问客户系统或其他重要公司信息的证据”。 但公司也承认，“两台笔记本电脑上存储的、主网络之外的部分客户文件，似乎已被威胁行为体访问”，不过未透露受影响客户的名称，仅表示已通知相关方。 路透社报道称，被访问的是 “4 份较早期文件”。此外，Ribbon 已采取即时预防措施，进一步加强网络防护以避免未来再发此类事件，并表示 “对此次事件引发的担忧深表歉意，已与 3 家受影响客户直接沟通”。 网络安全研究人员认为，尽管 Ribbon 称 “政府客户未受影响”，但这一情况仍需全面核实。鉴于国家级威胁行为体正将目标聚焦于关键基础设施及其他电信企业，这些机构做好攻击防御准备至关重要。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国防承包商L3Harris的一名前高管于周三认罪，承认向一名俄罗斯经纪人出售间谍软件漏洞利用工具。 根据美国司法部发布的新闻稿，曾主管L3Harris旗下间谍软件与零日漏洞部门Trenchant的彼得·威廉姆斯，将商业机密出售给一家”公开自称向包括俄罗斯政府在内的各类客户转售网络漏洞利用工具”的俄罗斯网络工具经纪人。 威廉姆斯对其两项窃取商业机密的指控认罪。官方称他在2022年至2025年的三年期间窃取并兜售这些信息。司法部表示，被出售的物料属于国家安全软件，包含至少八个”敏感且受保护的网络漏洞利用组件”，这些工具原本仅限向美国政府及经批准的盟友销售。 每项指控最高可判处10年监禁并处罚金。 检方指出，威廉姆斯因出售这些机密被承诺获得数百万美元的加密货币报酬。官方称他与该俄罗斯经纪人签订了多份合同，涉及初始销售及“后续技术支持”。 “这些国际网络经纪人是新一代国际军火商，我们将持续警惕其活动，”美国检察官珍妮·费里斯·皮罗在声明中表示。 皮罗指出，威廉姆斯的罪行不仅给L3Harris造成3500万美元损失，更向非盟友的外国网络行为体提供了“可能已被用于攻击众多无辜受害者的尖端网络漏洞利用工具”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰境内的多个组织近日遭到源自俄罗斯的威胁行为者攻击，其目的在于窃取敏感数据并维持对受感染网络的持久访问权限。 根据赛门铁克和Carbon Black威胁猎人团队发布的最新报告，此次攻击活动持续针对一家大型商业服务组织进行了两个月的渗透，同时对一家当地政府实体进行了一周的入侵。 攻击主要采用“离地生存”技术和双重用途工具，仅辅以最低限度的恶意软件，从而减小数字足迹并长期保持隐蔽。 “攻击者通过在面向公众的服务器上部署Webshell获得对商业服务组织的访问权限，很可能是利用了一个或多个未修复的漏洞，”这两支隶属于博通公司的网络安全团队在报告中表示。 攻击中使用的Webshell之一是Localolive，微软此前曾警告称该工具被与俄罗斯有关的沙虫组织下属团队在多年度行动”BadPilot”中使用。LocalOlive旨在协助投送Chisel、plink和rsockstun等后续载荷，至少自2021年底开始被活跃使用。 针对该商业服务组织的恶意活动最早可追溯至2025年6月27日，攻击者利用初始立足点投放Webshell并实施侦察。研究还发现，攻击者运行PowerShell命令将设备的下载目录排除在Microsoft Defender防病毒扫描范围之外，并设置计划任务每30分钟执行一次内存转储。 攻击时间线与技术细节 在接下来的几周内，攻击者实施了多种恶意行为，包括： 将注册表配置单元副本保存至名为1.log的文件 投放更多Webshell 使用Webshell枚举用户目录中的所有文件 运行命令列出所有以”kee”开头的运行进程（可能旨在定位KeePass密码存储库） 列出第二台设备上的所有活跃用户会话 运行位于下载文件夹中的”service.exe”和”cloud.exe”可执行文件 在第三台设备上运行侦察命令并使用Microsoft Windows资源泄漏诊断工具执行内存转储 修改注册表以允许RDP连接 在第四台设备上运行PowerShell命令获取Windows配置信息 运行RDPclip获取远程桌面连接中的剪贴板访问权限 安装OpenSSH以方便远程访问计算机 运行PowerShell命令允许OpenSSH服务器在22端口上的TCP流量 创建计划任务，使用域账户每30分钟运行未知PowerShell后门（link.ps1） 运行未知Python脚本 在下载文件夹中部署合法的MikroTik路由器管理应用程序（“winbox64.exe”） 值得关注的是，乌克兰计算机应急响应小组曾在2024年4月记录过“winbox64.exe”的使用，当时它与沙虫组织针对乌克兰能源、供水和供热供应商的攻击活动有关。 赛门铁克和Carbon Black表示，虽然未发现此次入侵与沙虫组织直接关联的证据，但指出其”确实显示出源自俄罗斯的特征”。该网络安全公司还透露，这些攻击的特点在于部署了多个PowerShell后门和疑似恶意软件的可疑可执行文件，但目前尚未获取这些样本进行分析。 “虽然攻击者在入侵过程中使用的恶意软件数量有限，但大部分恶意活动都涉及合法工具，包括系统原生工具或攻击者引入的双重用途软件，”报告强调，“攻击者展现出对Windows原生工具的深入了解，并展示了熟练攻击者如何推进攻击、窃取凭证等敏感信息，同时在目标网络上留下最小痕迹。” 行业背景与趋势 此报告发布之际，Gen Threat Labs详细披露了Gamaredon组织利用WinRAR中一个已修复安全漏洞（CVE-2025-8088，CVSS评分：8.8）攻击乌克兰政府机构的行为。 该公司在X平台上发文称：“攻击者正在滥用CVE-2025-8088（WinRAR路径遍历漏洞）投递RAR压缩包，这些压缩包会静默将HTA恶意软件放入启动文件夹——除了打开压缩包内的良性PDF文件外，无需任何用户交互。这些诱饵经过精心设计，可诱骗受害者打开武器化压缩包，延续了以往攻击活动中出现的激进攻击模式。” Recorded Future的最新报告也印证了这一趋势，该报告发现俄罗斯网络犯罪生态系统正受到”终端游戏”等国际执法行动的积极影响，促使俄罗斯政府与电子犯罪组织的关系从被动容忍转向主动管理。对泄露聊天记录的进一步分析显示，这些威胁组织内的高级人物通常与俄罗斯情报部门保持联系，通过提供数据、执行任务或利用贿赂和政治关系获得豁免权。与此同时，网络犯罪团伙正在分散运营以规避西方和国内的监控。 尽管长期以来众所周知俄罗斯网络犯罪分子只要不攻击该地区运营的企业或实体就可以自由活动，但克里姆林宫现在似乎采取了更为细致的方法：在需要时招募或合作人才，在攻击符合其利益时视而不见，并在威胁行为者变得”政治上不便或对外尴尬”时选择性执法。 由此可见，这种“黑暗契约”实质上是多种因素的结合体：既是商业企业，也是影响力和信息获取的工具，同时当它威胁到国内稳定或面临西方压力时也会成为负担。该公司在《黑暗契约》系列报告的第三部分中指出：“俄罗斯网络犯罪地下世界在国家控制和内部不信任的双重压力下正在分裂，而专有论坛监控和勒索软件联盟聊天记录显示运营者之间的偏执情绪日益加剧。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文