随着网络攻击手法日益复杂,网络犯罪分子不断利用技术手段规避安全防护,全球执法部门针对网络犯罪的打击力度也正不断加大。2025年5月27日,美国司法部宣布成功查封与网络犯罪加密服务相关的四个关键域名及其服务器,这一行动不仅彰显了国际合作在网络安全领域的必要性,也为遏制高级持续性威胁提供了有力支持。此次查封的域名包括AvCheck.net、Cryptor.biz、Cryptor.live和Crypt.guru,这些平台长期向网络犯罪分子提供所谓的“加密服务”,帮助恶意软件绕过主流安全软件的检测,隐蔽性极强,极大地增加了网络攻击的成功率。所谓加密服务即“crypting”,是通过特殊软件修改恶意程序,使其在杀毒软件扫描时不容易被检测到,从而确保恶意软件能够潜伏在目标系统中实现持续破坏或者数据窃取。美国司法部与荷兰、芬兰等欧洲多国执法机构紧密合作,共同完成本次震慑行动。此外,法国、德国、丹麦、葡萄牙及乌克兰等国也积极参与了本次全球范围的打击行动。
此次行动是“Endgame行动”中的一个关键环节,该行动自2024年启动以来,已成功中断多个恶意软件家族的基础设施,包括近期摧毁的Lumma窃取工具和DanaBot网络,及其相关服务器和域名。美国联邦调查局休斯顿分局负责人Douglas Williams表示,网络犯罪分子不仅制造恶意软件,更通过加密服务不断精进其攻击武器,使恶意程序能够绕过消防墙、防止取证分析,从而对受害系统造成最大破坏。为了确认这四个平台的非法用途,执法人员采用了深度卧底购买手段,实际测试这些加密服务的功能及其用于网络犯罪的证据。荷兰执法机构称其中AvCheck曾是全球最广泛使用的对抗杀毒服务平台之一。AvCheck.net通过连接多达26个杀毒引擎,让网络犯罪分子能够检测恶意程序是否能被安全软件识别,帮助其持续调整恶意代码以实现“全方位隐匿”。互联网档案馆的备份显示,该平台还提供IP地址和域名通过22个安全引擎进行检测的功能。
此次四大域名被查封显示出执法机构对网络犯罪底层生态的精准掌控,也揭示了加密服务在当前网络攻击中扮演的重要角色。值得注意的是,随着AvCheck平台的关闭,黑客和网络攻击分子迅速转向了其它类似的平台,如kleenscan.com、scanner.to、avscanner.org等,这些平台同样宣传其对抗杀毒能力,并且严格执行“禁止分发恶意软件”的内规,以防止被执法部门追踪。区分这些服务与合法病毒扫描站点的关键,在于其明确的服务对象是网络犯罪分子,并通过封闭社区和访问控制来保护其客户利益。加拿大知名安全公司eSentire在研究中发现,一款名为PureCrypter的恶意软件即服务(MaaS)工具广泛采用了这种加密技术,配合绕过包括Windows 11 24H2安全补丁的新型技术,如NtManageHotPatch API内存修补,使攻击工具能够继续利用代码注入手法,绕过最新的防御机制。PureCrypter在黑客论坛Hackforums.net上由名为PureCoder的威胁组织出售,价格从159美元三个月到终身799美元不等,并通过Telegram自动频道@ThePureBot进行分发和售卖。其营销策略中虽然声称软件仅供教育用途,但实际用途显然针对网络犯罪。
此类软件的多重反检测措施涵盖了防分析、防虚拟机检测以及防调试等技术,显著提升了威胁的隐蔽性和持久性。此次行动将对全球网络犯罪生态系统形成重要打击,进一步促使网络攻击者不得不调整策略,寻找新的攻击工具和服务。同时,这也提醒全球企业和安全研究人员提高对加密服务的警惕,深入理解恶意软件多层隐藏机制,增强检测和响应能力。国际联合打击网络犯罪的案例不断证明合作的力量,网络犯罪并非单国问题,而是需要跨境、多机构的联合应对。美国司法部、荷兰与芬兰等国的成功协作为未来类似行动树立了典范。未来,随着云计算、人工智能及自动化传播技术的普及,网络威胁将更加复杂多变,执法部门与安全行业必须持续创新防御与侦查手段,深入挖掘犯罪链条,打击从根源支持网络犯罪的基础设施。
网络安全不仅是技术问题,更是维护社会秩序和经济安全的重要战线。此次四大加密服务查封行动表明全世界正在加强团结,积极遏制网络犯罪的发展态势,为构建更加安全的数字环境提供坚实保障。公众及企业应增强网络安全意识,及时更新安全防护措施,避免成为加密恶意软件攻击的受害者。同时,加强对网络安全法规的理解与配合,为全球面对网络威胁形成坚固的防护墙贡献力量。
