暗網也有自己的正義聯盟-“法院系統”

過去幾周，聯邦調查局、司法部 (DOJ)、國際刑警組織和其他國際執法機構共同努力逮捕和起訴勒索軟件威脅行為者。通過這些努力，已追回數百萬美元的贖金。談到法治，人人享有司法公正和公平審判都是任何民主社會的基礎。

那么暗網社區是否也擁有自己的相同信仰價值觀的“法院系統”呢？

答案是有的

雖然網絡竊賊之間可能毫無信譽可言，但許多地下論壇都有仲裁網絡犯罪分子之間糾紛的程序，至少有一些人似乎遵守了一套地下規則，以解決他們之間因違約、未付會費和無效惡意軟件而產生的分歧。

暗網上每天都有數十起案件升級到這個地下司法系統，耐心等待高級授權網絡犯罪分子（通常是論壇管理人員）解決爭端并分配贏家和輸家。就像美國的司法系統一樣，整個過程始于兩個對立方之間的爭端。例如，威脅行為者購買了受損的網絡訪問權限，但隨后發現相同的訪問權限之前已出售給另一個實體。現在威脅行為者以退款的形式要求追索，但賣家不愿意遵守這一要求。因此，更高的暗網虛擬法庭被帶入畫面。這些法庭不僅適用于俄羅斯威脅行為者，而且每個生態系統在語言和文化方面都可能有自己版本的論壇“法庭”。

威脅情報公司Analyst1的研究人員最近分析了幾個主要網絡犯罪論壇的運作，發現其中至少有兩個擁有非正式的法院系統，犯罪分子可以在其中提出申訴并與同行解決糾紛。Analyst1的研究表明，每天都有數10起來自暗網的案件升級到這些法院，等待論壇管理人員解決糾紛。

分析員1統計了600多個線程，這些線程與已在這些法院提交的案件有關。此類案件中的爭議金額通常從幾百美元到幾千美元不等，但也有少數涉及金額更高的爭議。例如，2021年4月，一家隸屬于Conti勒索軟件集團的運營商和滲透測試機構因未遵守涉及對美國學校系統進行黑客攻擊和數據加密的協議而被起訴，要求賠償200萬美元。

經過一個半月的“審判”程序，該案以有利于兩個Conti附屬公司的結果告終。但在許多其他情況下，提出爭議的罪犯贏了，Analyst1的首席安全策略師Jon DiMaggio說。 “它一直在發生。”

DARKSIDE曾被帶到“黑客法庭”

今年早些時候，Huntress實驗室的研究人員也報告有自己的發現，DarkSide因在發現Colonial Pipeline攻擊后未向其附屬公司付款而被帶到“黑客法庭”。該公司監控的一個案例涉及對DarkSide勒索軟件即服務機構的運營商的多起投訴，這些機構的附屬機構尋求為他們使用惡意軟件進行的攻擊付款。

在美國當局和其他人將其認定為導致美國東海岸暫時石油供應短缺的殖民地管道襲擊事件的幕后黑手之后，DarkSide突然停止運營時提出了這些投訴。索賠由提出投訴的網絡犯罪論壇的管理員解決，并從為此類事件創建的DarkSide托管賬戶中向“原告”支付款項。

Analyst1發現，威脅行為者可以出于各種原因相互提起訴訟。作為一個例子，它指出一個威脅參與者可能已經從訪問代理那里購買了對受感染網絡的訪問權限，但發現它之前已被出售給另一個威脅參與者。在這種情況下，威脅行為者將通過在一個專門的子論壇中提供事件的詳細信息來對經紀人采取行動，該子論壇通常名為“法院”。

暗網法庭101 - 訴訟

要啟動該“訴訟”過程，原告必須在通常具有“法院”標題的專用子論壇中打開一個線程，并提供以下詳細信息：

• 索賠摘要
• 被告的昵稱，包括指向其個人資料的鏈接
• 被告的聯系信息（例如 Telegram、Jabber 或電子郵件地址）

原告將提交符合條件的證據，包括任何聊天記錄、屏幕截圖、加密貨幣交易以及類似的相關信息。

當仲裁員被分配到案件時，盤問階段開始，被告有權提出反訴。就像在真正的訴訟過程中一樣，審判可以以不同的判決結束。在被告人無罪或沒有足夠材料開庭的情況下，案件將結案，不進行金錢或貨幣易手。但是，當判決有利于原告時，“被告”有一定的時間進行修正或面臨被禁止在論壇上進行任何未來活動。

通常，成熟的網絡犯罪運營商會將比特幣存入托管賬戶，以證明他們有能力支付服務費用。當爭端以有利于他們的方式解決時，威脅行為者將從該帳戶中獲得報酬。 “如果他們看到賣家/服務運營商經過仲裁并且在仲裁員做出決定后沒有付款，那么沒有人會購買對潛在受損目標的訪問權或購買惡意軟件，”DiMaggio 說。

與其他安全公司一樣，Analyst1發現大多數網絡犯罪論壇都禁止了所有與勒索軟件相關的主題、交易和套利。該禁令是在Colonial Pipeline違規后不久實施的，似乎是為了應對襲擊后針對勒索軟件運營商的執法活動的加強。

線上的聲譽

在大型地下論壇中運作的威脅參與者通常會很快遵守地下法庭的裁決，因為他們想保護自己的聲譽。 萬一敗訴，名譽掃地，需要重新開始“事業”。

“犯罪分子努力在這些論壇上建立自己的聲譽，”DiMaggio 說。“這些論壇是勒索軟件聯盟招募以及惡意軟件銷售、破壞和漏洞利用訪問，甚至提供黑客服務的地方。” 他說，失去信任或被論壇禁止可能會對威脅行為者在網絡地下活動的能力產生巨大的負面影響。Analyst1表示，在某些極端情況下，威脅行為者暴露了網絡犯罪分子的真實身份——包括實際地址、社交媒體資料和電話號碼——這些可能在現實中傷害到他們。

Huntress的高級安全研究員約翰哈蒙德說，幾乎每個網絡犯罪論壇或公告板都有一種司法系統，或者是一個“法院”來處理罪犯之間的糾紛。“這是一種奇怪的體育精神或行為準則，黑客、小偷和騙子本不應該相互交叉，”他說。處理爭議的仲裁者通常會根據原告提供的證據以及論壇上更廣泛社區的一般意見來決定判決。 “如果被判有罪，被告可能會被禁止進入社區，被置于網絡公共恥辱墻，并在其他地下集團中分享他們的壞名聲，”。

參考：

https://analyst1.com/blog/dark-web-justice-league

https://www.huntress.com/blog/pulling-back-the-curtain-a-journey-through-the-dark-web