本文来自安全客平台(www.anquanke.com),作者:安全客,站长之家经授权转载。
0X00 概述
暗网中的知名网站Empire Market已经至少关闭了 48 个小时,一些用户怀疑怀疑存在exit scam的问题,而另一些用户则在指责了网站出现的长时间分布式拒绝服务攻击(DDoS)。
周末的时候,Twitter和Reddit上出现了许多用户抱怨无法正常加载Empire Market网站的消息。
Empire Market上售卖着许多的非法商品,包括违禁药物,化学药品,赝品,珠宝和信用卡号,并支持使用包括比特币(BTC),莱特币(LTC)和门罗币(XMR)在内的付款方式
一名来自Reddit的用户JuicyVeins表示:”我 5 天前在该网站下了一笔订单,但因为商家处在离线状态我也不知道商家是否接单了,一直未接单可能会自动取消订单。”
经验证,该网站确实无法正常访问,所有的连接都显示超时。
0x01 上演”退出诈骗”?
目前尚不明确网站是遭遇DDoS攻击还是在策划一场“退场诈骗”。尽管到目前为止,网站的恢复时间依旧未定,但是版主还是希望管理员能够尽快恢复站点。但这其中是否依旧存在“退场诈骗”的可能性?
对于这样的可能性,在公共论坛上出现了许多的讨论和谣言。
“退场诈骗”是一种骗局,在这种骗局中,一些无良企业不履行现有的订单,同时继续接受新的订单,获取未发货的订单支付的钱。
在过去的几年里,利用加密货币的“退出诈骗”窃取第三方托管平台存储的现金。一些管理员从中牟利超过 1 亿美元。
然而,也有部分人员否认了“退出诈骗”这一说法。因为少数网友表示尽管存在一定的困难,但可以访问该网站。所以这种情况下,“退场骗局”的可能性不大。
同时Empire Market也不是第一次受到DDOS攻击,今年早些时间,该网站同样遭受过DDOS攻击的严重破坏。一位Twitter用户和”匿名记者”DarkDotFail进一步声称,Empire Market遭受了大规模的DDoS攻击,使其”访问速度非常慢”,因为Monero功能被破坏。
Bitcoin News给出了更多的消息,称Empire Market曾是DDoS攻击的受害者之一。
Empire Market的一位高级版主在dread thread中说:”如果网站在几天内仍然无法正常工作,我会发布一篇关于整个情况的帖子,但现在这样说还为时过早,也许管理员会把它修好。”
如果这仅仅是一次DDoS攻击,那么这是一次令人惊讶的长时间攻击,甚至连网站的负责人都只给出了模棱两可的回应。
以下是 2020 年 8 月 25 日的更新:
0x02 网站完全下线,可能不会再重新上线
更多细节显示,Empire Market已经一去不返,不会恢复运营了。
在一名Twitter用户提供的论坛帖子中显示,Se7en曾表明:”现在网站已经关闭了 48 个小时。我原先希望网站可以恢复运营,但现在看起来不太可能了。mod面板关闭了,管理员也不再出现在jabber上。” 。
Se7en推测网站关闭背后的原因,揭露了一些有趣的信息。
版主表示,为了使网站不断运转,暗网市场背后的管理员们精疲力尽。
在过去的半年里,该网站一直处于自适应状态,管理员和论坛版主之间的交流变得越来越有限。
“我知道管理层已经厌倦了维持Empire Market的运转。在过去的半年里,该网站一直处于自适应模式,没有新增任何功能。我提出了一些建议,但大部分都被忽视了。”Se7en说道,并进一步补充道:”在网站刚开始运营的时期,管理员们更多的是会倾听我的建议。当时网站允许购买武器,但在我强烈主张反对与武器有关的交易后,他们取消了这个板块。但现在,在过去的半年里,我们的建议不仅仅是被忽视,总的来说,版主和管理员之间的沟通也变得非常有限。这很令人沮丧,我只能接受这一现状”。
0x03 不是退出诈骗,而是突然退出
Se7en不认为这是一个有计划的退出诈骗,因为通常情况下,进行退出诈骗的管理员会继续接受付款数周或更长时间,然后再完全消失。
“他们经常告诉我,他们希望Empire Market成为历史上运营时间最长的市场,我非常相信他们,同时这也是为什么这个网站能够一直在线的原因。” Se7en说道。
然后Se7en把责任推到用户”SchwererGustav”身上,因为他此前曾对该网站进行DDoS攻击,并以此向网站管理员提出勒索。据Se7en报道,为了挽救网站,管理层可能同意每周向Gustav支付 1 万至1. 5 万美元。这一”交易”已经给网站的财务状况带来了巨大的压力。
同时Tor的员工也被Se7en指责,因为其本能修复系统中此类缺陷,避免网站被此类攻击影响。”如果Tor的员工团队修复了Tor中的问题,我相信管理员们会坚持更长时间。并且Tor的员工知道他们需要做些什么来解决这个问题,也就是在网络中添加PoW。”
“也许他们现在正在研究这个,很高兴看到他们更频繁地谈论PoW,但他们已经拖延了好几年。我毫不夸张的说,如果Tor的员工团队在几年前添加了PoW,甚至Dream Market可能也还在正常运营”
帖子的最后总结道,”我对管理员们这样结束了市场很失望。我向任何有资金托管的人道歉。”
0x04 我的钱去哪了?
不管是否存在退出诈骗,许多用户担心他们的钱被卡在了托管机构中,现在他们不太可能联系到这些托管机构。
一位Twitter用户说:” F ** k 🙁 他们甚至没有给我们宽限期来撤出我们的资金,这事就跟做梦一样。”
NoFear81 要求Se7en通过任何可能的方式取回他们的钱:
这是一个发展中的故事,将随着更多信息的发布而更新。
后续更新:
0x05 随着Empire的消失,用户开始关注其他非法暗网市场
以色列网络威胁情报监视公司KELA已向BleepingComputer提供了有关此事的信息及截图。
该公司分析了暗网用户经常参加的论坛,并提供了有关其足迹的见解。
“在分析Dread和TheHub等论坛上的几个帖子之后,我们注意到对于大多数用户可能将其活动和交流转移到地下论坛:Versus,White House Market和Icarus以及加密聊天软件Wickr 这三个地方,人们似乎已经达成共识。KELA威胁情报分析师Victoria Kivilevich说道。
[更正:澄清了Wickr是指加密聊天软件 ,而不是地下论坛。]
来源:KELA
在KELA提供的另一篇论坛帖子中,一位“前Empire商人”,Arbeitsamt说,由于市场突然退出,他们损失了5, 000 欧元。“我基本上失去了我的主要收入来源。”
来源:KELA
尽管提到了Monopoly和Torrez,但分析师认为这些选择将是次要的,上述市场为重中之重。
“另外,我们还注意到有几个提到要转移到Monopoly或Torrez上,但是这些并不是讨论的主要内容。下面我们提供了几个截图,显示Empire 成员之间关于下一步去向的争论不休。” Kivilevich继续说道。
0x06 引入免费市场
根据暗网论坛上的内容,似乎像伊卡洛斯这样的非法市场正在以免费等方式吸引Empire 的用户。
但是,不能保证这些替代市场不受导致Empire 消失的勒索威胁和DDoS攻击的影响。
另一个论坛上的帖子来自一家供应商,该供应商声称提供了“从德国运出的欧洲优质可卡因,全程跟踪”。
该帖子向潜在目标客户保证,该供应商无意欺骗任何人,他们自己也遭受了Empire的“出口欺诈”的重创。
但更重要的是,供应商在Wickr和白宫市场上共享了他们重新出现的细节。
0x07 有道德的骗子?
在KELA分享的一个颇具讽刺意味的论坛帖子中,一位客户收到了产品,表示愿意支付他们应付的“这16k中的 250 美元”,因为先前由Empire维护的托管已经消失了。
这名用户说 :“我希望能给你一个完全正确的答案。产品落地了,看起来不错。”并分享了他们接下来要去白宫市场的计划。
前Empire 市场的赞助人,客户和卖方之间的讨论
Empire Market是黑网上规模最大,最受欢迎的非法市场之一,交易非法药物,化学药品,假冒产品,珠宝和信用卡账号,同时提供包括比特币(BTC),莱特币(LTC)和门罗币(Monero)( XMR)等虚拟货币。
尽管多次DDoS和勒索事件可能使Empire屈服,但替代性的暗网市场存在并为网络犯罪分子提供了安全庇护所。当然,这并不是说这些另类非法市场最终不会像Empire 一样在一天内消亡。
此外,随着非法活动规模扩大,这些非法的暗网市场肯定会受到联邦调查局等执法机构的审查。
(举报)
