标签: 暗网

研究人员分享了在暗网上发现匿名勒索软件网站的技术

Hackernews 编译,转载请注明出处: 网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。 “大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站,”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时,他们使用VPS跳点作为代理来隐藏自己的真实位置。” 众所周知,勒索软件集团依靠暗网来隐藏他们的非法活动,从泄露被盗数据到与受害者协商付款,Talos 透露,他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。” Eubanks说:“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外,用于发现攻击者清晰网络基础设施的第二种方法是,使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。 调查结果表明,不仅互联网上的任何用户都可以访问犯罪分子的泄露站点,其他基础设施组件(包括识别服务器数据)也被暴露,从而有效地获得用于管理勒索软件服务器的登录位置。 LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划 随着Black Basta勒索软件的开发,勒索软件团伙通过使用QakBot进行初始访问和横向移动,并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作,扩大了其攻击武库。 更重要的是,LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大!”此外,他们还推出了自己的漏洞奖励计划,为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。 漏洞奖励计划的一个关键重点是防御措施:防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞,确定包括联盟计划负责人在内的成员可能被人肉搜索的方式,以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。 被加密或识别的威胁表明,像LockBit这样的组织显然非常担心执法行动。最后,该集团计划提供Zcash为一种支付选择,这一点很重要,因为Zcash比比特币更难追踪,这让研究人员更难监视该集团的活动。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

FBI 捣毁出售大量被盗个人重要信息的网络黑市

美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。 美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。 出售被盗社会安全号码的网站 根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。 此外,SSNDOB的管理员使用了各种技术来保持匿名并防止对其活动的任何窥探。根据美国执法部门的说法,这包括“使用与其真实身份不同的在线名称,在不同国家战略性地维护服务器,并要求买家使用数字支付方式如比特币”。 美司法部的公告继续说道:“拆除和扣押这一基础设施的国际行动是与塞浦路斯和拉脱维亚的执法当局密切合作的结果。2022年6月7日,针对SSNDOB市场的域名执行了扣押令……有效地停止了该网站的运作。” 防止身份被盗 像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供): 这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息; 一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉; 此外,应该每年审查一次自己的信用报告。特别是要检查以确保它们不包括你没有开过的账户。你可以从Annualcreditreport.com免费订购你的报告; 最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。 美国检察官Roger Handberg在SSNDOB公告中说道:“我赞赏我们的国内和国际执法伙伴为制止这一全球计划所做的大量工作和合作。盗窃和滥用个人信息不仅是犯罪行为,而且会在未来几年对个人产生灾难性的影响。” Handberg跟国税局刑事调查华盛顿特区外地办事处的主管特别探员Darrell Waldon和联邦调查局坦帕分部的主管特别探员David Walker一起宣布关闭这些网站。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1279811.htm 封面来源于网络,如有侵权请联系删除

新暗网市场 Industrial Spy 或已加入勒索软件攻击大军

近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。 Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。 近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。 Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。 为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。 Industrial Spy加入勒索软件大军 上周,安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本,然而这次看起来更像是勒索信,而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。 “非常不幸,我们不得不通知您,您的公司正面临着威胁,所有的文件都被加密,而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复,很可能会导致这些数据完全丢失”,勒索信中这样写道,“此外,我们研究了您整个公司的网络,并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复,我们将在Industrial Spy网站上公布您的数据。” 经研究人员测试显示,Industrial Spy确实对文件进行加密,但不同于大多数其他勒索软件家族,它不会在加密文件的名称上附加新的扩展名,如下所示。 勒索软件专家Michael Gillespie对此进行了解读,他一眼就认定它使用的是DES加密,RSA1024公钥加密。 该勒索软件还使用了0xFEEDBEEF的文件标记,这是在别的勒索软件家族中从未见过的。当然,我们不应该把这个文件标记与在编程中使用的那个著名的神奇调试值0xDEADBEEF混淆。 在加密文件的同时,Industrial Spy勒索软件在设备上每个文件夹中都会创建名为“README.html”的勒索记录,这些勒索记录包含一个TOX id,受害者可以使用它来联系勒索软件团伙并协商赎金。 或与勒索团伙Cuba有关联? 当研究勒索信中的TOX ID和电子邮件地址时,MalwareHunterTeam小组发现了一个Industrial Spy与勒索团伙Cuba的奇怪联系。 上传到VirusTotal的勒索软件样本会创建一个带有相同TOX ID和电子邮件地址的勒索记录。 但是,它没有链接到Industrial Spy Tor的站点,而是链接到勒索团伙Cuba的数据泄露网站并使用相同的文件名。众所周知,!! READ ME !!.txt,是勒索团伙Cuba的赎金票据。另外还有一点值得一提,加密文件还附加了.Cuba扩展名,就像平时勒索团伙Cuba在加密文件时所做的那样。 虽然这并不能百分百肯定地将这两个组织联系在一起,但研究人员推测很可能Industrial Spy的攻击者在测试他们的勒索软件是使用了勒索团伙Cuba的信息。 这还有待安全研究人员和分析人士继续保持密切关注与进一步的探索。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334468.html 封面来源于网络,如有侵权请联系删除

国际刑警组织:国家网络武器将很快在暗网上出现

国家网络武器终将在暗网扩散,这一进程难以逆转。 图:国际刑警组织秘书长Jurgen Stock 国际刑警组织秘书长Jurgen Stock警告,由国家开发的网络武器会在“几年”后出现在暗网上; 他呼吁商界领袖加强与政府及执法部门的合作,上报网络安全事件,明晰威胁态势。 国际刑警组织高级官员警告称,军方在网络战中使用的数字工具,最终有可能落入恶意黑客手中。 国际刑警组织秘书长Jurgen Stock表示,他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网,是指互联网上的一个隐藏部分,无法通过谷歌等搜索引擎直接访问。 周一(5月23日),在瑞士达沃斯举行的世界经济论坛上,Stock提出,“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。” 他还补充道,“数字武器也不例外。也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。” 网络武器分为多种形式,其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件,已经成为关键。长期以来,网络战一直是全球政府关注的焦点,并在此次俄乌战争中再次吸引整个世界的目光。 俄罗斯多次被归因指责,在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时,乌克兰得到了世界各地志愿黑客的支援,协助其应对俄罗斯的攻击。 Stock呼吁商界领袖加强与政府及执法部门的合作,确保更行之有效地监管网络犯罪。 他表示,“一方面,我们需要把握当前态势;而另一方面,我们需要私营部门数据的支持。” “我们需要企业的网络泄露报告。没有这些报告,我们将无法看到威胁形势。” Stock说,目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛,更是我们需要弥合的现实差距。” 根据世界经济论坛《全球网络安全展望》报告,2021年全球网络攻击数量增加了一倍以上。报告称,勒索软件仍是当下最流行的攻击类型,各受访组织每年平均被攻击270次。 参与讨论的企业高管和政府官员表示,网络安全事件正在令关键能源基础设施和供应链面临风险。 工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景,例如2015年由俄罗斯支持的对乌电网攻击,而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。 Lee总结道,“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我们的问题在于,很多已经投资并开发完成的成果仍未得到实际应用。”   转自 安全内参,原文链接:https://www.secrss.com/articles/42740 封面来源于网络,如有侵权请联系删除

因在暗网出售被盗凭据,乌克兰黑客被判四年监禁

Security Affairs 网站披露,因盗取大量服务器登录凭据,并在暗网出售, 28 岁的乌克兰人 Glib Oleksandr Ivanov-Tolpintsev 被判处 4 年监禁。 该男子于 2020 年 10 月在波兰被捕,被指控犯有共谋罪,贩卖未经授权的访问设备,以及贩卖计算机密码,次年 2 月初表示认罪,于 2021 年 9 月被引渡到美国。 据悉, Ivanov-Tolpintsev 控制了一个僵尸网络,通过暴力攻击破解计算机登录凭证,每周至少能够收集到 2000 台服务器的登录凭证。 2017 年至 2019 年期间,该男子在一个不知名的暗网市场上频繁出售被盗登录凭据,截止到落网,一共销售了超过 70 万台被破坏的服务器,共获得了 82648 美元的回报。 何为暗网市场? 根据法律文件的解释,暗网市场指从事非法网络信息交易的暗网网站,非法出售位于世界各地的服务器的登录凭证(用户名和密码)和其他非法数据信息。 一旦成功购买非法登陆凭证,网络犯罪分子就会利用这些服务器从事包括勒索软件攻击和税务欺诈在内的一系列非法活动。 美国司法部发布的新闻稿中表示:对于乌克兰公民的网络犯罪事件,经过调查分析发现,暗网市场上总共有 70 多万台被破坏的服务器出售,其中至少有 15 万台在美国,至少有 8000 台在佛罗里达。 此次事件的受害者涉及领域广泛,政府机构、医院、紧急服务、呼叫中心、大都会交通当局、律师事务所、养老基金和大学等都受到一定程度的影响。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333377.html 封面来源于网络,如有侵权请联系删除

德国摧毁俄罗斯暗网市场 Hydra 九头蛇 收缴价值 2500 万美元的比特币

据德国媒体报道,德国执法机构在最近的执法行动中扣押俄罗斯暗网市场Hydra的服务器,同时收缴价值2500万美元的比特币。不知道这个黑市的创始人是不是漫威的粉丝,所以才会起九头蛇这个名字。 目前访问该市场会弹出德国执法机构挂出的提示,而收缴的2500万美元比特币只是很小的一部分,具体来说是4月5日的一系列交易中扣押的,有88笔交易金额为543.3比特币。 和大多数暗网黑市一样,Hydra需要使用Tor Broswer俗称洋葱浏览器才能访问,该暗网黑市出售各类非法物品,包括但不限于黑客工具、毒品、伪造的数字文档以及其他数字服务。德国执法机构是顺着非法毒品交易找到这个暗网黑市的,其基础设施应该是位于欧盟境内才会被执法机构扣押。 根据执法机构发布的新闻稿,从去年8月开始德国就在追踪这个暗网黑市,调查发现该黑市自2015年上线,注册卖家超过19000名,仅在2020年的营业额就超过13.4亿美元。 为什么说扣押的2500万美元比特币只是一小部分呢?因为这些平台充当中间商,买家先将比特币存到平台,卖家发货后再由平台放款,所以本质上扣押的只是当时尚未完成的交易的预付款。 美国方面则是将俄罗斯加密货币交易所Garantex添加到制裁名单,调查显示该交易所帮助暗网黑市进行洗钱,包括将比特币兑换成法币或者将法币兑换成比特币等。 值得注意的是在新闻稿中德国执法机构并未提到抓获相关犯罪嫌疑人,不过德国检查官已经指控其运营者和管理人员涉嫌商业洗钱、运营犯罪交易平台、未经授权出售麻醉品等罪名,也就是说如果其运营者和管理人员被逮捕那就会被立即起诉。   转自 蓝点网 ,原文链接:https://www.landian.vip/archives/93314.html 封面来源于网络,如有侵权请联系删除

研究:暗网仍存在且更危险 网络犯罪服务费用可低至 500 美元

据外媒报道,暗网仍然活着,而且变得比以前更危险。新研究强调了被盗数据的价值和一般网络犯罪行为在过去六年中是如何演变的。近日,云安全公司Bitglass通过发明了一个出售登录和密码数据的虚构身份重现了2015年的一个数据追踪实验。 然后,研究人员在几个暗网市场上发布了这些信息并通过提供对假文件的访问来吸引用户,据悉,这些文件可以访问零售、政府、游戏和媒体领域的组织。 插入文件的水印技术使Bitglass能从访问它的用户那里追踪数据从而收集暗网的当前趋势。研究结果非常有意思。总体而言,跟六年前相比,今天被盗数据在暗网上的传播速度快了11倍。 2021年,漏洞数据的浏览量超过13200次,比2015年的1100次大幅增加。这一激增代表的是1100%的增长,这清楚地表明了地下平台如何成为网络犯罪分子的一个更受欢迎的目的地。 2015年达到1100次链接浏览所需的时间是12天。而在2021年,目标在访问假数据方面明显更快,因为它们只用了不到24小时的时间。 被盗数据的下载地点显示,美国是网络犯罪分子的第二大发源地。前三名另外两个是肯尼亚和罗马尼亚。 研究还发现,目标对零售和美国政府网络数据表现出浓厚的兴趣。这两个类别收到的点击率最高,分别为37%和32%。这并不令人惊讶,因为潜在的赎金可以为这些领域带来巨大的利润。 零售网络自然是攻击者的重中之重,因为他们可以分发赎金软件并从大型企业中提取报酬。同样,美国政府的数据也同样具有价值,因为黑客–国家支持的或个人–可以将这些信息出售给其他国家。 此外,暗网中的活动也变得更加繁忙。根据该研究,2021年暗网的匿名浏览者总数达到93%,跟2015年的67%相比,有明显的上升。 Bitglass强调,网络犯罪分子在很大程度上逃避了起诉网络犯罪的法律,因为他们在掩盖自己的踪迹方面变得更加有效。 来自企业和组织的网络安全努力还不能充分地防止攻击。此外,由于执法部门越来越重视追踪恶意行为者,该公司预计他们会继续利用匿名VPN和代理来躲避当局。 “在比较这次最新的实验结果和2015年的实验结果时,很明显,暗网的数据传播得更远、更快,”Bitglass威胁研究小组的负责人Mike Schuricht说道,“我们预计,数据泄露的数量不断增加以及网络犯罪分子有更多的渠道使流出的数据赚钱,这些会导致人们对暗网被盗数据的兴趣和活动增加。” 根据微软公布的数据,暗网用户可以以低于500美元的价格获得大多数网络犯罪服务。Atlas VPN发现,地下市场提供的单个勒索软件套件的价格低至66美元,而黑客对目标进行长达1个月的持续DDoS攻击,只收取约311美元。 如今,数据泄露已经司空见惯,因此,被盗的用户名和密码以每1000个账户97美分的价格出售也就不足为奇了。此外,黑客还会提供定制工作,如信用卡诈骗或身份盗窃,而价格低至250美元。   (消息及封面来源:cnBeta)

实验发现被盗数据在暗网的传播速度比以往任何时候都快

根据Bitglass的最新研究,今天暗网被盗数据的传播速度是六年前的11倍。2021年,漏洞数据的浏览量超过13200次,而2015年的浏览量为1100次,增长了1100%。在2015年,达到1100个链接浏览量需要12天 — 在2021年,通过这个里程碑需要不到24小时。 Bitglass威胁研究小组的领导人Mike Schuricht说:”我们预计,数据泄露的数量不断增加,以及网络犯罪分子有更多的渠道将渗出的数据货币化,导致人们对暗网被盗数据的兴趣和活动增加。” 在其他发现中,2021年暗网上的匿名用户数量(93%)超过了2015年(67%)。今年的实验还表明,匿名观众对零售和政府数据特别感兴趣,分别占36%和31%。在Bitglass研究人员在暗网上故意播种的所有实验用数据类型中,访问零售商和美国政府网络的数据获得的点击率最高,分别为37%和32%。 “在将这次最新的实验结果与2015年的实验结果相比较,很明显,暗网的数据传播得更远、更快,”Schuricht补充说。”不仅如此,网络犯罪分子越来越善于掩盖他们的踪迹,并采取措施来逃避起诉网络犯罪的执法工作。不幸的是,企业保护数据的网络安全工作没有跟上步伐,关于最新数据泄露事件的头条新闻不断涌现就是证明。正如我们六年前建议各组织,他们必须使用最佳做法和新技术来保护他们的数据。”   (消息及封面来源:cnBeta)

38 亿条涉及 Clubhouse 和 Facebook 的综合个人信息正在暗网出售

7月24日爆出的Clubhouse漏洞和Facebook用户资料的数据被用来编制成一个38亿条的巨量数据库,暗网售价10万美元,不仅如此,如果买家资金紧张,卖家还愿意分割它。CyberNews研究团队发现了一个9月4日的黑客论坛帖子,该帖子提供了这些数据。发帖人称,这些记录包括姓名、电话号码、Clubhouse排名和Facebook个人资料链接。 Clubhouse是目前唯一的独立音频社交网络,在COVID-19禁足期间,用户数量大增,因此这些数据可能是相对新鲜的。虽然最初发布的Clubhouse电话号码没有任何关于用户的额外信息,对骗子来说是相当无用的,但将它们与Facebook的个人资料数据结合起来,就会有更大的吸引力。 CyberNews的高级信息安全研究员曼塔斯·萨斯瑙斯卡斯说:”合并后的数据可以作为骗子的金矿,使创建个性化的骗局更加容易。” “人们倾向于在社交媒体上过度分享信息,这可以让诈骗者了解采用什么载体来成功地进行诈骗,例如,用他们从人们的Facebook账户中了解到的信息给他们打电话。” 你可以在CyberNews网站上找到更多信息,该网站还有一个方便的数据泄漏检查器,你可以看到你的电子邮件或电话号码是否被泄露了: https://cybernews.com/personal-data-leak-check/   (消息及封面来源:cnBeta)

100 万张被盗信用卡在暗网曝光

据外媒softpedia报道,根据Threat Post的说法,一群网络罪犯建立了一个专门在线销售支付卡数据的网站–AllWorld.Cards。威胁行为者泄露了100万张被盗信用卡(收集于2018年至2019年期间)以帮助宣传他们的犯罪活动。 来自Cyble的网络安全研究人员在对暗网市场和网络犯罪活动进行定期检查时发现了这一漏洞。据研究人员称,该市场在2021年5月左右开始运营,可以通过TOR网络和Clearnet访问。意大利D3实验室的研究人员在一篇帖子中指出:“可以想象,这些数据是免费共享的,目的是从毫无防备的受害者那里购买额外的被盗数据以引诱其他犯罪分子频繁访问他们的网站。” 正如网络犯罪分子所说的那样,在他们的平台上暴露的信用卡信息包括从一个人的姓名到他们居住的地址、邮政编码、电话号码、信用卡号码和到期日等所有信息。信用卡及一些礼品卡在用于付款时很难追溯到交易的来源。 信用卡数据盗窃在黑市上是一项利润丰厚的业务,黑客可以通过各种方法获取信用卡信息,包括社交工程。针对网站的Magecart攻击和从网站窃取信息的木马则是最常用的技术。 根据Cybersixgill的数据,在2020年的最后六个月里,有超4500万张被泄露的信用卡可以在地下信用卡市场上销售。虽然目前尚不清楚有多少卡遭到滥用,但样本中27%的卡是活跃的并且可能被用于非法购买。 Cyble根据被发现的信用卡被盗数量编制了500强金融公司名单。根据最新数据显示,这一名单包括西班牙对外银行(24307张卡)、摩根大通银行(27441张卡)、萨顿银行(30480张卡)、桑坦德银行(拥有38010张卡)、印度国家银行(72937张卡)。   (消息及封面来源:cnBeta)