一份法庭文件显示，美国政府在3月14日以近2.16亿美元的价格出售了9861.17枚比特币（BTC）。出售的比特币是11月逮捕詹姆斯-钟(James Zhong)后扣押的5万枚比特币中的一部分，詹姆斯-钟在政府指控他在2012年操纵暗网市场丝绸之路的交易系统后承认了电信欺诈罪。当时，政府描述其为最大的加密货币扣押行动。 该文件说，政府打算在本日历年内分四批清空剩余的41490个比特币。 在看到美国当局于3月9日将价值超过2亿美元的比特币转移到Coinbase（COIN）后，加密货币交易商受到惊吓。比特币的价格因此而波动，在24小时内涨幅高达9.7%，然后又回到了之前的位置。 然而，现在，比特币交易员仍然没有受到美国政府卖出压力的重新担忧的干扰，加密货币继续在28000美元左右交易。     转自 Freebuf，原文链接：https://www.toutiao.com/article/7216993392683647500/ 封面来源于网络，如有侵权请联系删除

近日，出现了一种名为“Dark Power”（暗网）的新勒索软件操作，它已经在一个暗网数据泄露网站上列出了第一批受害者，并威胁说如果不支付赎金就公布数据。 勒索软件团伙的加密器的编译日期是 2023 年 1 月 29 日，即攻击开始的时间。 此外，该操作尚未在任何黑客论坛或暗网空间上推广；因此它可能是一个私人项目。 据分析 Dark Power 的Trellix称，这是一种针对全球组织的机会主义勒索软件操作，要求支付相对较小的 10,000 美元赎金。 黑暗力量攻击细节 Dark Power 有效载荷是用 Nim 编写的，Nim 是一种跨平台编程语言，具有多个与速度相关的优势，使其适用于性能关键型应用程序，如勒索软件。 此外，由于 Nim 现在才开始在网络犯罪分子中越来越受欢迎，它通常被认为是不太可能被防御工具检测到的利基选择。 Trellix 没有提供有关 Dark Power 感染点的详细信息，但它可能是一种利用、网络钓鱼电子邮件或其他方式。 执行时，勒索软件会创建一个随机的 64 个字符长的 ASCII 字符串，用于在每次执行时使用唯一密钥初始化加密算法。 接下来，勒索软件会终止受害者机器上的特定服务和进程，以释放文件进行加密，并最大限度地减少任何阻止文件锁定进程的可能性。 在此阶段，勒索软件还会停止其硬编码列表中的卷影复制服务 (VSS)、数据备份服务和反恶意软件产品。   终止的进程和服务 杀死上述所有服务后，勒索病毒会休眠30秒，并清除控制台和Windows系统日志，以防止数据恢复专家分析。 加密使用 AES（CRT 模式）和启动时生成的 ASCII 字符串。生成的文件被重命名为“.dark_power”扩展名。 有趣的是，该勒索软件有两个版本在野外流传，每个版本都有不同的加密密钥方案。 第一个变体使用 SHA-256 算法对 ASCII 字符串进行哈希处理，然后将结果分成两半，使用第一部分作为 AES 密钥，第二部分作为初始化向量 (nonce)。 第二种变体使用 SHA-256 摘要作为 AES 密钥，并使用固定的 128 位值作为加密随机数。 DLL、LIB、INI、CDM、LNK、BIN 和 MSI 等系统关键文件，以及程序文件和网络浏览器文件夹，都被排除在加密之外，以保持受感染计算机的运行，从而使受害者能够查看赎金注意并联系攻击者。 从加密中排除的文件和文件夹 赎金票据最后一次修改是在 2023 年 2 月 9 日，它给受害者 72 小时的时间将 10,000 美元的 XMR（门罗币）发送到提供的钱包地址，以获得可用的解密器。 与其他勒索软件操作相比，Dark Power 的赎金记录很突出，因为它是一个 8 页的 PDF 文档，其中包含有关发生的事情以及如何通过 qTox 信使联系他们的信息。 受害者和活动 截止到目前，Dark Power 的 Tor 站点处于离线状态。然而，随着与受害者谈判的深入，勒索软件门户定期下线的情况并不少见。 Trellix 报告说，它已经看到来自美国、法国、以色列、土耳其、捷克共和国、阿尔及利亚、埃及和秘鲁的十名受害者，因此目标范围是全球性的。 Dark Power 组织声称从这些组织的网络中窃取了数据，并威胁说如果他们不支付赎金，就会公开这些数据，所以它又是一个双重勒索组织。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/-1ixwbvB-1IIW2sSAwZXeA 封面来源于网络，如有侵权请联系删除  

一位数据泄露论坛的用户声称，可以访问一个包含超9亿条印度法律记录和文件的数据库，其中包括印度警方记录、报告、法庭案件，以及被告与被捕人员的详细信息。 该用户正在兜售这批数据，据称数据内容为JSON格式，附有指向原始PDF文件的链接。文件总大小约为600 GB，泄露数据的庞大规模可见一斑。 不过，这些数据的来源尚未确定，这也引发了人们对于数据合法性和泄露原因的担忧。 此外，出售此类敏感信息可能造成严重后果，包括个人信息滥用、胁迫、剥削甚至是设施等等。 9亿条印度警方记录和案件数据疑似被出售 图：暗网上出售的印度警方记录 据暗网上的卖家Tailmon介绍，这批失窃数据包含印度法律文件、印度警方记录（含指控文件）、法庭案件文件以及其他文件和文件夹。 Tailmon在3月13日发布的帖子中表示，“我所出售的是超过9亿份（600 GB）印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式，随附有原始PDF文件链接。” 近年来，多起数据泄露和网络攻击事件凸显出数据安全和隐私的重要性。失窃数据被公开出售，也进一步强调了采取严格措施保护敏感信息的必要性。 印度政府应采取措施应对 印度政府必须立即开展调查，采取必要措施以防止此类敏感信息的公开出售。 当局还应执行更严格的法规，确保处理个人信息的企业和个人遵守数据保护法。 此外，这次事件也提醒个人和组织应采取适当措施保护其数据，包括投资建设安全网络、对员工进行数据安全最佳实践培训，并定期更新安全协议以抵御潜在威胁。 总之，包含印度公民敏感法律文件的数据库被公开兜售令人担忧，防止个人信息滥用已经刻不容缓。 这起事件给印度政府、企业及个人敲响了警钟。数据安全和隐私保护应得到高度重视，并采取必要措施防范数据泄露和网络攻击。     转自 安全内参，原文链接：https://www.secrss.com/articles/52784 封面来源于网络，如有侵权请联系删除  

据美国众议院领导人向全体成员发出的通报函和参议院最高安全官员公布的备忘录，国会议员及华盛顿特区居民使用的在线健康保险市场D.C. Health Link遭到黑客攻击，导致数千名立法者、其配偶、家属和雇员的个人身份信息面临泄露风险。 国会警察局和FBI已经向加利福尼亚州共和党人、众议院议长凯文·麦卡锡（Kevin McCarthy）、众议员兼少数党领袖哈基姆·杰弗里斯 (Hakeem Jeffries)报告了针对D.C. Health Link市场的攻击情况。信中提到，由于此次违规行为，联邦调查员已经能够在暗网上买到关于国会议员及其家人的个人信息。 麦卡锡与杰弗里斯在周三的信中写道，“目前，我们的首要任务就是保护国会山社区中受到网络攻击影响的人们，为其提供安全保障。”他们将此次事件称为“严重的安全违规”。 立法者们写道，“首席行政官办公室将与信用与身份盗窃监控等重要服务部门保持联络，我们也强烈建议大家使用这些服务资源。” 根据参议院警察部门的一份内部备忘录，参议员及其工作人员的数据同样遭到泄露。备忘录中提到，泄露的数据包括“全名、注册日期、关系（本人、配偶、孩子）和电子邮件地址，但并不涉及其他个人身份信息。” 据众议院领导人称，导致此次D.C. Health Link数据泄露的原因、规模和范围尚不清楚，但强调警方和FBI“一直在向他们通报”此事。 作为在线健康保险市场，D.C. Health Link为大约1.1万名国会议员及其工作人员提供服务，总用户数量近10万人。 麦卡锡和杰弗里斯写道，“此次违规事件大大增加了议员、员工及其家人遭遇身份盗用、金融犯罪和人身威胁等本就持续存在的风险。幸运的是，出售信息的人似乎没有意识到自己掌握着高度敏感的机密内容，也不清楚这些与国会议员的关系。但随着媒体广泛报告此次违规行为，情况肯定会有所转变。” 众议院领导者们现在要求D.C. Health Benefit Exchange Authority（D.C. Health Link的运营方，一家在哥伦比亚特区管理在线健康保险市场的公私合营机构）主管Mila Kofman给出解释。 周三，麦卡锡和杰弗里斯向Kofman提出了一系列尖锐的问题。 包括保险市场为何没有就个人数据的泄露原因发出正式警告；具体有哪些注册者的信息被盗；以及有多少名立法者受到影响等。 在周三晚发布的一份声明中，政府发言人Adam Hudson证实了此次事件的存在，称“部分D.C. Health Link客户的数据已被泄露至公共论坛”。 Hudson称调查工作已经启动。 “与此同时，我们正在采取行动以保障用户个人信息的安全和隐私。我们正通知受影响客户，并将提供身份与信用监控服务。”     转自 安全内参，原文链接：https://mp.weixin.qq.com/s/sjR8zvA41heKWo7MvvmKyA 封面来源于网络，如有侵权请联系删除

一个名为 InTheBox 的攻击组织正在俄罗斯网络犯罪论坛上发布 1894 个网络注入（网络钓鱼窗口的覆盖）的清单，用于从银行、加密货币交易所和电子商务应用程序中窃取凭据和敏感数据。 这些覆盖层与各种 Android 银行恶意软件兼容，并模仿由数十个国家/地区主要组织运行的应用程序。 InTheBox 商店为各种银行恶意软件提供范围广泛的 Web 注入，包括 Alien、Ermac、Octopus、MetaDroid、Cerberus 和 Hydra。数百次注入的打包价格从近 4000 美元到 6500 美元不等。单个 Web 注入的价格已从每个 50 美元降至 30 美元。 自 2020 年 2 月以来，InTheBox 一直是经过验证的 Android 移动应用程序网络注入供应商。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分（例如：恶意软件的开发），并将攻击范围扩大到其他地区。 网络注入如何工作？ InTheBox 的网络注入通常以压缩包的形式出现，其中包括一个 PNG 格式的应用程序图标和一个 HTML 文件。该 HTML 文件包含 JavaScript 代码，负责使用伪装成移动应用程序输入表单的恶意覆盖界面收集敏感信息。 CRIL 研究人员表示，注入过程从一个覆盖界面开始，该界面要求受感染的用户输入他们的手机银行详细信息，例如用户 ID、密码和手机号码。 输入这些凭据后会加载一个覆盖界面，诱使用户透露他们的信用卡号、有效期和 CVV 信息，然而合法的应用程序根本不需要输入这些。 如何保持安全？ 研究人员建议遵循以下网络安全最佳实践，以防止攻击者访问他们的个人和财务信息。 仅从官方应用商店等可信来源下载和安装软件。 仅下载获得许可的防病毒软件并始终保持更新。 谨慎打开手机上未知来源的消息或电子邮件收到的任何链接。 在您的 Android 设备上启用 Google Play Protect 以保持保护。 授予任何应用程序权限时请谨慎行事。 让您的设备、操作系统和应用程序保持最新。 密切注意最新软件更新中提供的安全功能，并警惕任何要求输入额外信息（如支付卡详细信息）的提示。 如果您怀疑您的设备可能已被感染，请尝试恢复出厂设置或删除可疑应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356329.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，在暗网上销售毒品和其他非法商品的在线市场已经开始使用定制的安卓应用程序来增加隐私，并逃避警方的追捕。 Resecurity 的分析师大概在 2022 年第三季度初观察到了这一新趋势，认为是对去年备受瞩目的暗网市场打击行动、尤其是针对Hydra行动的回应。Hydra曾是暗网最大的“黑市”之一，主要涉及大量非法毒品交易，在全球拥有 19000 名注册卖家和 1700 万客户。2022 年 4 月，由德国主导的一次联合执法行动彻底查封了Hydra服务器，该市场宣告瓦解。 也正因为如此，其他一些小众市场开始瓜分Hydra的用户群体，Resecurity注意到7个此类安卓应用程序，分别是Yakudza、TomFord24、24Deluxe、PNTS32、Flakka24、24Cana和MapSTGK。这些应用程序都使用相同的 M-Club CMS 引擎构建，因此它们可能源自同一开发者。 Resecurity 在报告中提到，这些安卓移动应用程序能够传输有关毒品订单的详细信息，还可以发送运输者留下的毒品包裹的地理坐标，以方便取件。为了防止被索引，此类信息以图像的形式传输，[…] 注释则可能包含包裹埋藏在地下的深度或任何其他可用的详细信息。 包裹埋藏地点的详细信息 （Resecurity）   当这种信息交换发生在几个不同的应用程序上时，会造成信息碎片化，给执法部门的追捕造成一定阻碍。Resecurity 认为，2023年会有越来越多的地下市场采用安卓应用程序，以逐渐取代有隐私风险的论坛和开放市场平台。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/354768.html 封面来源于网络，如有侵权请联系删除

据Security Affairs消息，一名攻击者声称已窃取Twitter 4亿用户数据，并将其挂在地下论坛出售。 这位昵称为“Ryushi”的论坛用户发帖称，他通过系统漏洞抓取了用户数据，这些用户身份上至名人、政府官员，下至普通的一般用户。攻击者还提供了包含 1000 个帐户的样本作为证明，其中包含了美国前总统特朗普的账户数据。 攻击者还向Twitter CEO马斯克建议老老实实花钱来购买这些数据，否则将面临来自监管机构的巨额罚款。 目前尚无媒体或安全机构进一步核实这名攻击者的说法及这4亿用户数据的保真性。 监管机构已就上个月的数据泄露展开调查 在上个月的540万Twitter 用户数据泄露事件发生后，爱尔兰数据保护委员会 (DPC) 已就此展开调查，在12月23日发表的一份声明中，DCP表示已就此事与Twitter 进行了沟通，并认为很可能已经违规了与个人数据相关的一项或多项 GDPR法案规定。 作为 Twitter 在欧盟的主要监管机构，DPC 希望确定这家社交媒体巨头是否履行了其作为数据控制者在处理用户数据方面的义务，以及它是否违反了《通用数据保护条例》(EU GDPR) 的任何规定或 2018 年制定的数据保护法。   转自 Freebuf，原文链接：https://www.freebuf.com/news/353514.html 封面来源于网络，如有侵权请联系删除

10月6日，视频游戏发行商 2K 向用户发送电子邮件称，其个人信息已在 9 月 19 日的攻击事件中被盗并在网上出售。 9月20日，2K证实其帮助台平台被黑客入侵， 并被通过嵌入式链接向用户推送含有Redline Stealer 恶意软件的虚假支持票。随后，2K关闭了其支持门户网站以调查违规行为，并建议收到电子邮件并单击链接的用户重置浏览器存储的密码，检查其帐户是否存在可疑活动。 带有 RedLine 恶意软件下载链接的虚假 2K 支持票 但显然，这没能阻止数据泄露的发生。在邮件中，2K告诉用户，发现未经授权的第三方访问并复制了用户注册时提供的姓名、电子邮件地址、帮助台识别号、玩家代号和控制台详细信息，但表示没有迹象表明涉及用户资金的账户及密码泄露。 2K还告诉用户，目前没有发现攻击者能够窃取帐户凭证的证据，并建议用户重置密码以确保帐户安全。 在黑客论坛上，2K的游戏支持数据库已被挂出进行销售，包括用户 id、用户名、电子邮件、真实姓名等信息，总计达到400万条。 在黑客论坛上正进行出售的 2K 用户数据 在此次攻击事件中，攻击者所运用的Redline Stealer恶意软件可以在感染受害者系统后收集大量数据，包括保存的浏览器密码、信用卡、VPN 凭证、cookie、即时消息、加密货币钱包等。因此，2K强烈建议用户重置所有密码，尤其是那些已经中过招点击过恶意链接的用户。   转自 Freebuf，原文链接：https://www.freebuf.com/news/346294.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。 “大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站，”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时，他们使用VPS跳点作为代理来隐藏自己的真实位置。” 众所周知，勒索软件集团依靠暗网来隐藏他们的非法活动，从泄露被盗数据到与受害者协商付款，Talos 透露，他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。” Eubanks说：“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外，用于发现攻击者清晰网络基础设施的第二种方法是，使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。 调查结果表明，不仅互联网上的任何用户都可以访问犯罪分子的泄露站点，其他基础设施组件(包括识别服务器数据)也被暴露，从而有效地获得用于管理勒索软件服务器的登录位置。 LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划 随着Black Basta勒索软件的开发，勒索软件团伙通过使用QakBot进行初始访问和横向移动，并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作，扩大了其攻击武库。 更重要的是，LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞奖励计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。 漏洞奖励计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括联盟计划负责人在内的成员可能被人肉搜索的方式，以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。 被加密或识别的威胁表明，像LockBit这样的组织显然非常担心执法行动。最后，该集团计划提供Zcash为一种支付选择，这一点很重要，因为Zcash比比特币更难追踪，这让研究人员更难监视该集团的活动。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息，如被盗的社会安全号码和出生日期。因此，这一行动被捣毁绝对是一个大胜利。 美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外，该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言，这个数字超过了佛罗里达州的人口。 出售被盗社会安全号码的网站 根据美司法部的说法，SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务，同时管理员提供客户支持并在买家将钱存入其账户时进行监控。 此外，SSNDOB的管理员使用了各种技术来保持匿名并防止对其活动的任何窥探。根据美国执法部门的说法，这包括“使用与其真实身份不同的在线名称，在不同国家战略性地维护服务器，并要求买家使用数字支付方式如比特币”。 美司法部的公告继续说道：“拆除和扣押这一基础设施的国际行动是与塞浦路斯和拉脱维亚的执法当局密切合作的结果。2022年6月7日，针对SSNDOB市场的域名执行了扣押令……有效地停止了该网站的运作。” 防止身份被盗 像这样的犯罪活动提醒人们，身份盗窃是一个永远存在的威胁，人们需要认真对待。下面，你会发现你可以采取的步骤来减少自己成为受害者的可能性（由USA.gov提供）： 这第一个步骤应该不用多说。不要因为有人问你要个人信息（如你的出生日期、社会安全号码或银行账户号码）就分享这些信息； 一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉； 此外，应该每年审查一次自己的信用报告。特别是要检查以确保它们不包括你没有开过的账户。你可以从Annualcreditreport.com免费订购你的报告； 最重要的是，创建身份窃贼无法猜测的复杂密码。此外，如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。 美国检察官Roger Handberg在SSNDOB公告中说道：“我赞赏我们的国内和国际执法伙伴为制止这一全球计划所做的大量工作和合作。盗窃和滥用个人信息不仅是犯罪行为，而且会在未来几年对个人产生灾难性的影响。” Handberg跟国税局刑事调查华盛顿特区外地办事处的主管特别探员Darrell Waldon和联邦调查局坦帕分部的主管特别探员David Walker一起宣布关闭这些网站。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1279811.htm 封面来源于网络，如有侵权请联系删除