暗网拥有自己的“人民法庭”

许多地下论坛都有仲裁网络犯罪分子之间争端的流程。
暗网拥有自己的“人民法庭”

网络盗贼之间可能没有什么荣誉可言。但至少有一些人似乎遵守着一套地下规则,用来解决他们之间因为失信、欠款和无效的恶意软件而产生的分歧。

来自威胁情报公司 Analyst1 的研究人员最近分析了几个主要的网络犯罪论坛的运作情况,发现其中至少有两个论坛设立了一种非正式的法庭制度,让罪犯们可以提出投诉和解决纠纷。Analyst1 的研究显示,每天都有数十起来自暗网的案件升级到这些法庭,等待论坛管理员来裁决。

Analyst1 统计了超过 600 条与这些法庭相关的帖子。这些案件中争议的金额通常在几百到几千美元之间,不过也有少数涉及更高金额的案件。例如,在 2021 年 4 月,一个与 Conti 勒索软件团伙有关联的操作者和渗透测试团队因为没有履行一项涉及美国某学校系统的数据黑客和加密的协议,被起诉索赔 200 万美元。

这起案件经过了一个半月的“审判”过程后,以两个 Conti 分支机构胜诉而告终。但在许多其他情况下,提起纠纷的罪犯们都赢得了胜利,Analyst1 的首席安全策略师 Jon DiMaggio 说。

“这种事情经常发生,”DiMaggio 说。“如果仲裁员做出决定后,原告没有得到赔偿,这个制度就不会有效。”

DarkSide备受关注

今年早些时候,来自 Huntress Labs 的研究人员也报告了网络黑客们有自己的行为准则和一种类似地下法庭的制度来执行它们。该公司监测到的一起案件涉及了多个针对 DarkSide 勒索软件即服务组织的运营者的投诉,这些投诉来自寻求使用该恶意软件进行攻击的合作伙伴。

当美国当局和其他人将 DarkSide 识别为殖民管道攻击背后的团伙后,DarkSide 突然停止了运作,这导致了美国东海岸暂时的石油供应短缺。这些索赔由投诉所在的网络犯罪论坛的管理员解决,并且从 DarkSide 专门为此类情况而设立的托管账户中向“原告”支付了赔偿。

Analyst1 发现,威胁行为者可以因为各种原因互相提起案件。作为一个例子,它指出了一个可能从访问经纪人那里购买了对一个被入侵网络的访问权,却发现它之前已经被卖给了另一个威胁行为者的情况。在这种情况下,威胁行为者会通过在一个通常被称为法庭或仲裁的专门子论坛中提供事件的细节来对经纪人采取行动。

在这里,“原告”会提供索赔的细节,例如经纪人的昵称、他们在 Jabber 和 Telegram 等服务上的联系信息的链接,以及涉及到所谓违规行为的证据,包括聊天记录、截图和其他交易。然后,会有一个仲裁员被指派来审查细节并听取被控违规者的反驳。黑客法庭给予每个论坛成员参与过程的权利,但只有仲裁员才能做出最终决定。

当决定对原告有利时,“被告”有一定的时间来弥补或面临被禁止在论坛上进行任何未来活动的可能性。通常,成熟的网络犯罪运营者会向一个托管账户存入比特币作为他们支付服务能力的证明。当纠纷以他们有利的方式解决时,威胁行为者就会从这个账户中得到付款。

“如果他们看到卖家/服务运营者经过仲裁后没有支付赔偿,就没有人会购买对潜在被入侵目标的访问权或购买恶意软件,”DiMaggio 说。

Analyst1 和其他安全公司一样,发现大多数网络犯罪论坛都禁止了所有与勒索软件相关的话题、交易和仲裁。这一禁令是在殖民管道事件发生后不久实施的,似乎是为了应对针对勒索软件运营者的执法活动增加而做出的回应。

声誉岌岌可危

在大型地下论坛上活动的威胁行为者通常会很快遵守地下法庭的裁决,因为他们想要保护自己的声誉。

“罪犯们在这些论坛上努力建立自己的声誉,”DiMaggio 说。“这些论坛是勒索软件合作伙伴招募、恶意软件销售、入侵和利用访问,甚至黑客服务等活动的场所。”

他说,失去信任或被论坛禁止会对威胁行为者在网络地下的运作能力产生巨大的负面影响。在一些极端的情况下,威胁行为者会暴露欺骗他们的网络犯罪分子的真实身份——包括物理地址、社交媒体资料和电话号码,Analyst1 表示。

Huntress 的高级安全研究员 John Hammond 说,几乎每个网络犯罪论坛或公告板都有一种类似司法系统或“人民法庭”的机制来处理罪犯之间的纠纷。“这是一种奇怪的体育精神或行为准则,黑客、小偷和骗子不应该互相冲突,”。

Hammond 说,处理纠纷的仲裁员通常根据原告提供的证据以及论坛更广泛社区的一般意见来决定判决结果。

“如果被判有罪,被告可以被禁止参与社区活动,被放在公开的耻辱墙上,并且他们的坏名声会在其他地下集团中传播,”。

推荐阅读:

CISA(美国国家网络与信息安全局):警惕俄罗斯入侵乌克兰纪念日的DDoS攻击和网站篡改行为

派拉蒙和Forever 21的数据泄露为后续攻击埋下伏笔

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20