Zeppelin 勒索团伙落网,美国缴获 280 万加密资产
HackerNews 编译,转载请注明出处: 美国司法部宣布从涉嫌勒索软件运营者Ianis Aleksandrovich Antropenko处查获逾280万美元加密货币。Antropenko在德克萨斯州被起诉,罪名包括计算机欺诈和洗钱,其犯罪活动关联现已停止运营的Zeppelin勒索软件(2019至2022年间活跃)。除数字资产外,当局还扣押7万美元现金及一辆豪华汽车。 “Antropenko使用Zeppelin勒索软件攻击全球范围内的个人、企业及组织(包括美国境内目标)”,司法部声明指出,“具体而言,Antropenko及其同伙会加密并窃取受害者数据,通常以解密数据、避免公开或承诺删除数据为条件勒索赎金”。 收到赎金后,Antropenko试图通过混币服务ChipMixer洗钱(该服务于2023年3月被当局查封)。其他洗钱手段包括加密货币兑现金交易及结构化存款(将大额资金拆分为小额存款以规避银行监管)。 Zeppelin勒索软件于2019年末作为VegaLocker/Buran勒索软件变种出现,通过利用MSP软件漏洞攻击医疗和IT企业。2021年沉寂后重启攻击,但后续攻击的加密方案显示出技术缺陷。至2022年11月该组织基本停止活动——当时曝光的安全研究显示,Unit221b团队自2020年初就掌握免费解密密钥可协助受害者恢复文件。2024年1月有消息称Zeppelin勒索软件源代码在某黑客论坛以500美元价格出售。 针对Antropenko的起诉表明,即使网络犯罪活动已停止多年,证据仍能揭露攻击者身份。此次280万美元赃款扣押行动,延续了美国当局近期打击勒索软件的系列举措(包括从BlackSuit勒索软件查获100万美元加密货币、从Chaos勒索软件查获240万美元比特币)。 在无法实施逮捕的案件中,查没犯罪所得对打击勒索软件至关重要——此举能有效阻止运营者及关联方利用资金重建基础设施或招募新成员。 消息来源: bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
谷歌 320 亿美元收购 Wiz 遇阻,美司法部启动反垄断审查!
HackerNews 编译,转载请注明出处: 美国司法部已对谷歌计划以320亿美元收购云安全初创企业Wiz的交易启动反垄断审查。据彭博社报道,此项审查仍处于早期阶段,旨在评估该交易是否损害网络安全市场的竞争。报道指出,此类审查可能持续数月,或将包括与客户、竞争对手及并购双方的访谈。 谷歌于3月宣布的Wiz收购案,是其网络安全产品组合的关键布局——该组合此前已包含来自Mandiant的威胁情报技术和Siemplify的安全运营技术。谷歌对网络安全业务的雄心并非首次面临司法部审查:2022年其54亿美元收购Mandiant的交易同样接受过反垄断审查,但最终获批。 对于Wiz收购案,彭博社称双方已预判监管阻力,谷歌同意在交易失败时向Wiz支付约32亿美元的分手费。此次交易提出前一年,Wiz曾拒绝谷歌230亿美元的收购报价。若交易达成,将重塑微软主导的竞争格局,并改变投资者对云安全初创企业的投资逻辑。 谷歌长期难以在企业网络安全领域立足(尽管曾通过Chronicle和VirusTotal积极尝试),而此次整合Wiz技术与Mandiant资产后,公司正推行一项宏大战略:将主动与被动安全解决方案集成于统一平台。Wiz平台通过扫描所有主流云环境,构建代码、资源及连接的综合图谱,能精确定位潜在攻击路径,并根据影响程度对风险分级,为企业开发者和安全团队提供部署前的应用安全保障。 消息来源: securityweek; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
美司法部追缴朝鲜黑客 774 万美元加密货币
HackerNews 编译,转载请注明出处: 美国司法部近期提交民事没收诉讼,要求没收与朝鲜伪造IT员工计划相关的774万美元加密货币资产。该计划涉及此前被起诉的朝鲜外贸银行(FTB)代表沈贤燮(Sim Hyon Sop)。冻结资产涵盖加密货币、NFT及其他数字资产。 司法部在声明中指出:“朝鲜IT工作者通过非法就业积累数百万美元加密货币资产,目的是规避美国对朝制裁。这些资金最初因2023年4月对沈贤燮的起诉而被冻结,其涉嫌与IT工作者共谋。当朝鲜试图清洗这些非法所得时,美国政府成功冻结并扣押了774万美元涉案资金。” 诉状揭示朝鲜通过加密资产非法融资的核心手段:派遣IT工作者秘密潜入中国、俄罗斯等国,利用伪造身份骗取区块链公司远程职位。雇主在不知情下以USDC、USDT等稳定币支付薪酬,变相资助朝鲜政权。这些工作者通过虚假身份、小额转账、链跳转(chain hopping)、NFT购买等方式洗钱,并利用美国账户掩盖资金来源。清洗后的资金通过沈贤燮及朝鲜国防部关联企业Chinyong CEO金尚曼(Kim Sang Man)等人回流朝鲜——该企业自2017年起受美制裁。 司法部国家安全司司长Sue J. Bai强调:“朝鲜长期利用全球远程IT雇佣及加密生态系统规避制裁,为其武器计划提供资金。此次百万美元级没收行动彰显我们切断非法融资渠道的决心,将持续运用法律工具遏制朝鲜破坏稳定计划。” 2024年5月,司法部起诉涉嫌协助朝鲜IT工作者冒用美籍身份渗透数百家企业的亚利桑那州女子、乌克兰男子及三名外籍人士。该计划派遣数千名技术人员使用盗取的美籍身份渗透企业,通过美国支付平台、招聘网站及代理电脑欺诈超300家美企,成为美当局起诉的最大规模同类案件。行动时间跨度为2020年10月至2023年10月,情报专家推测其旨在为朝鲜核计划融资。 主要被告克里斯蒂娜·查普曼(Christina Marie Chapman)5月在亚利桑那州被捕,乌克兰籍奥列克桑德·迪登科(Oleksandr Didenko)同期于波兰落网,美方正寻求引渡。查普曼面临共谋欺诈、电汇欺诈、银行欺诈、加重身份盗窃等12项指控。FBI同步发布警报,警示私营领域防范朝鲜IT工作者威胁。 同年8月,田纳西州居民马修·努特(Matthew Isaac Knoot)因运营“笔记本农场”协助朝鲜IT工作者获取美企远程职位被捕。诉状显示,努特帮助朝鲜工作者使用窃取身份冒充美国公民,在其住所托管公司笔记本电脑,安装未授权软件提供访问权限,并通过朝中关联账户清洗薪酬。朝鲜IT工作者主要潜伏中俄两国,以虚假身份骗取远程工作,每人年收入可达30万美元。 执法部门估算受害企业审计修复损失超50万美元。努特被控共谋破坏受保护计算机、洗钱、电汇欺诈等六项罪名,若成立将面临最高20年监禁(其中身份盗窃罪强制最低刑期2年)。 消息来源: securityaffairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
美国司法部查封与暗网黑市 BidenCash 相关的 145 个域名
HackerNews 编译,转载请注明出处: 美国司法部6月4日宣布查获与非法信用卡交易平台BidenCash相关的加密货币资产及约145个明网与暗网域名。该平台通过简化盗刷信用卡及关联个人信息交易流程牟利,每笔交易收取手续费。 BidenCash于2022年3月上线,填补了Joker’s Stash等非法论坛关停后的市场空缺。据调查,该平台运营期间累计服务超11.7万用户,交易逾1500万张支付卡数据及个人信息,非法收益至少达1700万美元。为推广服务,2022年10月至2023年2月间曾免费泄露330万张信用卡信息,包含卡号、有效期、CVV码及持卡人住址等敏感数据。其中2023年2月泄露的210万张卡片中,半数归属美国实体。 该平台还以2美元低价兜售SSH入侵服务,提供目标服务器漏洞检测、算力定位等黑客工具包。网络安全公司CloudSEK曾警告,此类服务可能引发数据窃取、勒索软件攻击及非法挖矿等恶性事件。 本次行动由美国特勤局和联邦调查局主导,联合荷兰警方、暗影服务器基金会等国际机构实施。当局未披露查获加密货币具体价值及平台运营者身份信息。 此次打击行动前一周,国际执法机构刚查封4家提供反病毒规避服务的平台。另有一名35岁乌克兰籍黑客因入侵超5000个主机账户实施非法挖矿被起诉,其利用开源情报定位漏洞基础设施部署虚拟机的行为造成450万美元损失,最高面临15年监禁。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
美国司法部捣毁 DanaBot 全球僵尸网络,对 16 名涉嫌网络犯罪的个人发起控诉
HackerNews 编译,转载请注明出处: 美国司法部周四宣布捣毁与DanaBot(又名DanaTools)相关的网络基础设施,并对16名涉嫌参与开发部署该恶意软件的个人提起指控。根据司法部声明,这款由俄罗斯网络犯罪组织操控的恶意软件已感染全球超30万台计算机,造成至少5000万美元损失,目前仍有2名俄罗斯籍主犯在逃。 39岁的亚历山大·斯捷潘诺夫(化名JimmBee)与34岁的阿尔乔姆·卡林金(化名Onix)被列为关键嫌疑人。斯捷潘诺夫面临共谋、电信欺诈、银行欺诈等11项指控,最高可判5年监禁;卡林金被指控非法入侵计算机系统等罪名,最高面临72年刑期。起诉书显示,多名嫌疑人因操作失误导致自身设备感染恶意软件,意外暴露真实身份——部分案例系主动测试恶意软件功能,另一些则纯属意外触发。 作为“Endgame行动”的重要成果,执法部门查封了DanaBot的数十台美国境内C2服务器。司法部指出,该恶意软件通过钓鱼邮件传播,构建僵尸网络实施金融欺诈与勒索攻击。DanaBot采用分层代理架构,受害者流量需经2-3层服务器中转才能抵达最终控制端,日常维持5-6台二级服务器在线,主要受害者集中于巴西、墨西哥与美国。 技术分析显示,DanaBot自2018年5月作为银行木马问世后,逐步发展为模块化恶意软件即服务(MaaS)平台,月租费用500美元起。其功能涵盖数据窃取、银行会话劫持、键盘记录、远程控制等,支持通过加密器(如Matanbuchus)与加载器隐匿行踪。2021年1月出现的定制版本专门针对北美与欧洲的军事、外交及政府实体,具备全设备交互记录能力。 值得注意的是,DanaBot在2020年7月至2024年6月期间几乎未通过邮件传播,转而依赖SEO投毒与恶意广告扩大感染。该组织还曾于2022年3月对乌克兰国防部邮箱系统发动DDoS攻击,并运营两个专门从事情报搜集的子僵尸网络(编号24、25),疑似服务于俄罗斯政府利益。 Proofpoint威胁研究员塞莱娜·拉尔森强调:“此类执法行动不仅削弱恶意软件功能,更迫使犯罪者改变策略,动摇黑产生态信任基础。” 本次行动得到亚马逊、CrowdStrike、ESET等十余家企业的技术支持。 同步披露的另一起案件中,48岁莫斯科居民鲁斯塔姆·加利阿莫夫因运营QakBot僵尸网络被起诉。尽管该网络在2023年8月遭国际执法摧毁,但其团伙转向“垃圾邮件轰炸”等新手法,持续散布Black Basta与CACTUS勒索软件。美方已对查获的2400万美元加密货币启动民事没收程序。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
美国司法部查封了乌克兰 IT 军的网络攻击资源
图:安全内参访问ipstress[.]in网站的截图 美国司法部近日查封了一个涉网犯罪域名ipstress[.]in,据悉此前曾为乌克兰IT军服务; 目前尚不清楚,ipstress[.]in的网络攻击活动,是否与乌克兰IT军有关,美国查封行动是否对乌克兰政府提前通气; 这类攻击活动目前在乌克兰合法,但在全球其他地方应该都非法,该如何定性和定责还属于灰色地带。 安全内参6月10日消息,美国司法部在5月31日宣布,在一次国际网络犯罪执法行动中查封了三个涉案域名。 美国哥伦比亚特区检察官Matthew Graves在声明中表示,此次查封的ovh-booter[.]com、weleakinfo[.]to及ipstress[.]in三个域名已经引发了“两起令人痛心的威胁”,涉及贩卖被盗个人信息、攻击并破坏合法互联网服务网站。 被查封的网络攻击设施曾与乌克兰IT军合作 没过多久,有人注意到被查封的IPStress域名近期曾隶属于乌克兰IT军队。这支“网络部队”是乌克兰政府批准的民间志愿者组织,旨在鼓励对俄罗斯目标持续开展网络攻击,立足在网络空间帮助乌克兰抵御俄罗斯的军事攻击。 截至本周二(6月7日),乌克兰IT军队的英文网站上仍有指向IPStress网站及对应Telegram账号的链接。在美媒CyberScoop询问此事后,链接被删除。现在访问此域名,用户会收到警告,显示“域名已经被没收”(见上图)。 此前,该网站曾自称是“可以拿下任何游戏服务器”的“最强IP压力测试器”,并表示“可以利用我们极速的方法绕过一切保护措施,比如CloudFlare。现在购买,享受我们强大的僵尸网络之力吧。” 乌克兰IT军的目标是“针对敌国的信息资源和服务,开展自动化系统攻击”。IT军的官方网站提供乌克兰语和英语两个版本,其中列出大量可供下载的工具和说明,以便对各类目标发起分布式拒绝服务攻击(DDoS)。在这类攻击之下,目标计算机和网络流量将不堪重负,导致服务无法正常访问。 一位不愿透露姓名的知情人士表示,乌克兰IT军曾在今年5月与IPStress合作过几周,但“由于后者执行不力……而宣布终止”。 该人士解释道,IPStress本该负责“提供服务器状态服务并在我们的网站上获取参考信息。”合作解除后,IPStress网站链接已经从IT军的乌克兰语版本网站中删除。但“由于一个技术问题”,英文版本的链接没有删除。 “当然,在得知IPStress正面临FBI调查后,我们肯定不会与他们续约或扯上任何关系。我们也是刚刚听说这件事,而且是从你们的消息里了解的。” 此人还提到,“乌克兰IT军是个纯粹的自愿参与组织,意在鼓励乌克兰人民对抗俄罗斯在网络空间发动的攻击。在战争期间,它是完全合法的。” 我们也向IPStress相关Telegram账号发送了消息,但对方并未回复。 乌合法网络攻击 vs 美打击网络犯罪:该活动的事实与性质均未知 虽然这些攻击活动在乌克兰境内是合法的,但在其他几乎任何地方都属于非法。另外,也不清楚IPStress网站与乌克兰IT军之间的合作,是否与FBI、美国司法部、荷兰警方以及比利时联邦警察前段时间的国际执法行动有关。 在6月1日发布的声明中,比利时官员称在5月31日逮捕了一名20多岁的男子,罪名是“对比利时及多个国外目标发动、或授意发动计算机攻击”。声明提到,这项调查历时一年,线索来自之前发现的一个大量转售被盗密码和用户名的网站。 比利时方面拒绝透露案件的其他细节,包括被拘留男子的姓名、或者是否有律师参与到案件审理当中。 FBI和美国司法部曾在2020年1月宣布,作为涉及英国、荷兰、德国和北爱尔兰的国际执法行动中的一部分,他们已经查封了weleakinfo[.]com网站。比利时方面在6月1日的声明中又提到,就在原版网站陷落的三天之后,又有托管在荷兰服务器上的weleakinfo替代站点快速上线。 FBI与华盛顿特区检察官办公室都拒绝对此事发表评论。向荷兰司法和安全部提出的置评请求也未收到回复。乌克兰数字化转型部的一位发言人回应称,“本部门并不代表IT军,我们双方属于合作关系,拥有同一个敌人。” 这位发言人并没有回答,乌克兰政府察觉FBI调查行动和决定断绝与IPStress间合作关系这两件事,到底谁先谁后的问题。 转自 E安全,原文链接:https://www.secrss.com/articles/43387 封面来源于网络,如有侵权请联系删除
美司法部:瞒报网络攻击或数据泄露事件的联邦承包商将被起诉
美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。 新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。 据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。 通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。 Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。 通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。 我们深知瞒报将让所有人都陷于风险之中,这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。 据悉,这项倡议的公布时间,恰逢加密货币执法团队的成立,以期处理复杂调查和滥用加密货币的刑事案件。 本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。 (消息及封面来源:cnBeta)
美国司法部网络安全工作组将重点关注美国大选操纵情况
据外媒 SlashGear 报道,美国司法部将成立一个名为 “ 网络数字工作组 ” 的全新网络安全工作组。这一新的安全举措将由美国司法部长杰夫·塞申斯( Jeff Sessions )命令创建,他曾表示恐怖分子和其他人曾处于恶意原因利用互联网。网络数字工作组将评估解决这些问题的方法。 该声明广泛报道了俄罗斯 “ 网络喷子 ” 对美国大选的干扰,这些 “ 喷子 ” 利用社交媒体帐户传播不实信息并操纵选民。根据 Sessions 的说法,特别工作组主要关心的是 – 通过在线研究美国选举,避免再次发生 2016 年的情况。 Sessions 在一份声明中表示: 互联网为我们提供了令人惊叹的新工具,帮助我们工作、交流和参与经济活动,但这些工具也可能被犯罪分子、恐怖分子和外国政府利用。在司法部,我们认真对待这些威胁。这就是今天我命令创建一个网络数字工作组的原因,以便就本部门能够提供应对这些威胁并保证美国人民安全的最有效方式向我提供建议。 除了研究与在线平台相关的选举干涉之外,网络数字工作组还将优先考虑与网络安全相关的关键基础设施干扰,互联网被用来传播危险意识形态和招募新成员的方式,以及技术如何被用来 “ 避免或阻碍执法 ”,黑客如何窃取大量数据及劫持计算机。 司法部警告说,新的工作组不仅限于这些任务,而是它将关注其后可能涉及的其他事情。这个工作组的第一份报告将在六月底之前提交给美国司法部长。 稿源:cnBeta,封面源自网络;
美国司法部破获特大网络犯罪案:涉案人员达 36 人
北京时间 2 月 8 日凌晨消息,本周三,美国司法部宣布其破获了一起史上最大规模之一的全球性网络犯罪案件,称该起案件涉案人员达到 36 人,造成至少 5.3 亿美元损失。 美国司法部称,该网络犯罪团伙运营着一个名为 “ Infraud ” 的线上论坛,该论坛主要从事的是买卖从全球各地窃取来的社会安全号(Social Security Number)、生日、和密码等个人信息。 根据法院相关文件显示,该网络犯罪团伙由一名 34 岁的名叫斯维亚托斯拉夫·邦达伦科(Svyatoslav Bondarenko)的乌克兰人在 2010 年创建,其口号是 “ 只做受信任的诈骗 ”(In Fraud We Trust)。 在起诉书中,该犯罪团伙创始人将其线上论坛形容成 “ 聚集着一群将黑客视为一种生活方式的专业人士 ” 的 “ 一个舒适又安全 ” 的地方。 邦达伦科在该团伙内部建立了一套分级制度,并仔细审查在其运营的网站上为售卖偷来的货物所打出的广告。同时,他禁止该论坛的成员买卖从俄罗斯受害者那儿偷来的设备和其他物品。 该论坛除了给偷来的信息提供方便快捷的交易平台外,还提供了由第三方管理的代理账户,使得买卖家之间可以通过包括比特币在内的多种数字加密货币进行交易。该支付服务是由该论坛的联合创始人谢尔盖·梅德韦杰夫(Sergey Medvedev)开发的。 美国司法部称,一共有 36 名犯罪嫌疑人被指控,目前为止从美国、澳大利亚、英国、法国、和意大利等国已抓捕归案人数为 13 人。这些犯罪嫌疑人被指控的罪行包括盗窃个人身份信息、欺诈银行、电信诈骗、和洗钱。 美国司法部副总检察长助理告诉记者称,还将发现更多的涉案人员,此案件正在进一步调查中。他说:“ 今天,我们对于打击跨国网络犯罪迈出了坚实的一步。” 据起诉书内容显示,该犯罪团伙运营的论坛上售卖的偷来的 “ 物品 ” 包括 79.5 万个汇丰银行用户账户,还有支付网站 PayPal 登录账号和信用卡卡号等。卖家还能在该论坛售卖恶意软件。 稿源:,稿件以及封面源自网络;
美国司法部希望最高法院重新裁决微软电子邮件一案
美国司法部(DOJ)和微软对存储在外国服务器上数据的争议本周略有上升,前者将问题提交给美国最高法院。2013 年,纽约地区法官命令微软提供正在接受调查的用户个人资料。由于数据存储在爱尔兰,微软拒绝遵守。 微软副总法律顾问霍华德指出,“美国政府没有权力在另一个国家对一个房屋进行搜查,也不应该有权搜索海外电子邮件内容。”去年微软终于解决了这个案子,但司法部不高兴,最近已经采取了一步行动来挑战裁决。 所采取的步骤是质疑 1986 年“电子通信隐私法”(ECPA)第二部分的“存储通信法”(SCA)的实效性,这是微软之前成功打赢电子邮件官司的基石。美国司法部正在试图要求最高法院解释如何将三十年前的法律适用于今天的全球互联网。 不过,美国最高法院林奇法官建议,司法部和国会可以制定出一套全新法律,这对所有人都是有效的,而不是争论过时的法律。我们认为立法之路也适合国家。林奇法官目前认为, 存储在海外的数据,美国政府只有在得到客户同意的情况下才能访问。行政部门反转这些规定会对美国经济中的各个行业造成不利影响。 稿源:cnBeta,封面源自网络