暗网也有自己的正义联盟-“法院系统” - 网安 - 专业的网络安全产业、社区、知识平台

过去几周，联邦调查局、司法部 (DOJ)、国际刑警组织和其他国际执法机构共同努力逮捕和起诉勒索软件威胁行为者。通过这些努力，已追回数百万美元的赎金。谈到法治，人人享有司法公正和公平审判都是任何民主社会的基础。

那么暗网社区是否也拥有自己的相同信仰价值观的“法院系统”呢？

答案是有的

虽然网络窃贼之间可能毫无信誉可言，但许多地下论坛都有仲裁网络犯罪分子之间纠纷的程序，至少有一些人似乎遵守了一套地下规则，以解决他们之间因违约、未付会费和无效恶意软件而产生的分歧。

暗网上每天都有数十起案件升级到这个地下司法系统，耐心等待高级授权网络犯罪分子（通常是论坛管理人员）解决争端并分配赢家和输家。就像美国的司法系统一样，整个过程始于两个对立方之间的争端。例如，威胁行为者购买了受损的网络访问权限，但随后发现相同的访问权限之前已出售给另一个实体。现在威胁行为者以退款的形式要求追索，但卖家不愿意遵守这一要求。因此，更高的暗网虚拟法庭被带入画面。这些法庭不仅适用于俄罗斯威胁行为者，而且每个生态系统在语言和文化方面都可能有自己版本的论坛“法庭”。

威胁情报公司Analyst1的研究人员最近分析了几个主要网络犯罪论坛的运作，发现其中至少有两个拥有非正式的法院系统，犯罪分子可以在其中提出申诉并与同行解决纠纷。Analyst1的研究表明，每天都有数10起来自暗网的案件升级到这些法院，等待论坛管理人员解决纠纷。

分析员1统计了600多个线程，这些线程与已在这些法院提交的案件有关。此类案件中的争议金额通常从几百美元到几千美元不等，但也有少数涉及金额更高的争议。例如，2021年4月，一家隶属于Conti勒索软件集团的运营商和渗透测试机构因未遵守涉及对美国学校系统进行黑客攻击和数据加密的协议而被起诉，要求赔偿200万美元。

经过一个半月的“审判”程序，该案以有利于两个Conti附属公司的结果告终。但在许多其他情况下，提出争议的罪犯赢了，Analyst1的首席安全策略师Jon DiMaggio说。 “它一直在发生。”

DARKSIDE曾被带到“黑客法庭”

今年早些时候，Huntress实验室的研究人员也报告有自己的发现，DarkSide因在发现Colonial Pipeline攻击后未向其附属公司付款而被带到“黑客法庭”。该公司监控的一个案例涉及对DarkSide勒索软件即服务机构的运营商的多起投诉，这些机构的附属机构寻求为他们使用恶意软件进行的攻击付款。

在美国当局和其他人将其认定为导致美国东海岸暂时石油供应短缺的殖民地管道袭击事件的幕后黑手之后，DarkSide突然停止运营时提出了这些投诉。索赔由提出投诉的网络犯罪论坛的管理员解决，并从为此类事件创建的DarkSide托管账户中向“原告”支付款项。

Analyst1发现，威胁行为者可以出于各种原因相互提起诉讼。作为一个例子，它指出一个威胁参与者可能已经从访问代理那里购买了对受感染网络的访问权限，但发现它之前已被出售给另一个威胁参与者。在这种情况下，威胁行为者将通过在一个专门的子论坛中提供事件的详细信息来对经纪人采取行动，该子论坛通常名为“法院”。

暗网法庭101 - 诉讼

要启动该“诉讼”过程，原告必须在通常具有“法院”标题的专用子论坛中打开一个线程，并提供以下详细信息：

索赔摘要
被告的昵称，包括指向其个人资料的链接
被告的联系信息（例如 Telegram、Jabber 或电子邮件地址）

原告将提交符合条件的证据，包括任何聊天记录、屏幕截图、加密货币交易以及类似的相关信息。

当仲裁员被分配到案件时，盘问阶段开始，被告有权提出反诉。就像在真正的诉讼过程中一样，审判可以以不同的判决结束。在被告人无罪或没有足够材料开庭的情况下，案件将结案，不进行金钱或货币易手。但是，当判决有利于原告时，“被告”有一定的时间进行修正或面临被禁止在论坛上进行任何未来活动。

通常，成熟的网络犯罪运营商会将比特币存入托管账户，以证明他们有能力支付服务费用。当争端以有利于他们的方式解决时，威胁行为者将从该帐户中获得报酬。 “如果他们看到卖家/服务运营商经过仲裁并且在仲裁员做出决定后没有付款，那么没有人会购买对潜在受损目标的访问权或购买恶意软件，”DiMaggio 说。

与其他安全公司一样，Analyst1发现大多数网络犯罪论坛都禁止了所有与勒索软件相关的主题、交易和套利。该禁令是在Colonial Pipeline违规后不久实施的，似乎是为了应对袭击后针对勒索软件运营商的执法活动的加强。

线上的声誉

在大型地下论坛中运作的威胁参与者通常会很快遵守地下法庭的裁决，因为他们想保护自己的声誉。万一败诉，名誉扫地，需要重新开始“事业”。

“犯罪分子努力在这些论坛上建立自己的声誉，”DiMaggio 说。“这些论坛是勒索软件联盟招募以及恶意软件销售、破坏和漏洞利用访问，甚至提供黑客服务的地方。” 他说，失去信任或被论坛禁止可能会对威胁行为者在网络地下活动的能力产生巨大的负面影响。Analyst1表示，在某些极端情况下，威胁行为者暴露了网络犯罪分子的真实身份——包括实际地址、社交媒体资料和电话号码——这些可能在现实中伤害到他们。

Huntress的高级安全研究员约翰哈蒙德说，几乎每个网络犯罪论坛或公告板都有一种司法系统，或者是一个“法院”来处理罪犯之间的纠纷。“这是一种奇怪的体育精神或行为准则，黑客、小偷和骗子本不应该相互交叉，”他说。处理争议的仲裁者通常会根据原告提供的证据以及论坛上更广泛社区的一般意见来决定判决。 “如果被判有罪，被告可能会被禁止进入社区，被置于网络公共耻辱墙，并在其他地下集团中分享他们的坏名声，”。

参考：

https://analyst1.com/blog/dark-web-justice-league

https://www.huntress.com/blog/pulling-back-the-curtain-a-journey-through-the-dark-web