活动背景提前预警!俄罗斯勒索团伙Groove组织了一个Flag,组织熊国所有的勒索团伙集中火力打败鹰和鹰怪!为一只眼睛而战的鹰鹰10月17日,REvil勒索团伙服务器遭到第三方入侵,再次宣布封闭运营。10月21日,路透社报道称,移除REvil是国际执法行动的结果。包括FBI在内的许多国家的执法和情报机构联合摧毁了REvil的泄密站点和Tor支付站点。这家安全公司表示,REvil操作员认为他们已经从备份恢复操作,而实际上,备份的内部系统一直在美国政府的控制之下。有趣的是,长期以来,提前备份一直被视为防范勒索软件攻击的最佳方式。因为如果企业可以从备份中恢复他们的系统,他们就不必向勒索集团支付解密密钥。勒索软件攻击者也知道备份的重要性,所以他们通常会破坏受害者的备份,让受害者无所事事地付钱。而这一次,美国政府及其合作伙伴却以各自的方式反击,摧毁了REvil的后盾,让身为猎人的REvil尝到了成为猎物的滋味。这一次的打击非常伤人和侮辱。REvil不仅再次关闭运营,还激怒了其他敲诈勒索团体。路透社报道一出,不少敲诈勒索团伙立即开始在暗网上喷水。以攻击美国医院而闻名的孔蒂组织表示:“美国对REvil服务器的攻击让我们想起了一件众所周知的事情:美国继续在世界事务中从事单边、域外和强盗行为。美国50名中的任何一个法律可以证明对REvil服务器的这种攻击是正当的吗?勒索软件才是真正的受害者!猜猜谁是有史以来最大的勒索软件组织?是你们的旧美国联邦政府!”网络安全公司Emisoft说:“这些勒索团伙感到恐慌!这些空洞的姿态只不过是虚张声势,”分析师说。不过,不管这些破坏力极强的敲诈勒索团伙是否真的紧张,长期以来对美国执法普遍性的吐槽,让这些“火爆”的团伙准备联合起来,齐声发声。在愤怒的勒索团伙中,首当其冲的就是沟槽组织。22日,它发表俄文博文,呼吁所有其他勒索软件停止相互竞争,停止内部分裂。大家要打开局面,团结起来。一起集中火力瞄准美国,给这个网络老大的坏老头显个光!Groove勒索软件帖子呼吁对美国进行集中攻击。格罗夫是谁?这种“大格局”Groove组织实际上是一种新型的勒索软件组织。成立还不到半年,但众所周知,Groove敲诈勒索团伙与大名鼎鼎的巴布克组织关系密切。Groove核心成员“Orange”是Babuk集团的前任管理员,也是以勒索软件为中心的地下数字平台RAMP的创建者。但奥兰治和巴布克的分手并不幸福,背后还隐藏着敲诈勒索的丑闻。Babuk分裂丑闻Babuk勒索软件于2020年12月首次被发现,曾多次攻击国外著名企业,如NBA休斯顿火箭队、美国主要军工承包商PDI集团、日本制造商山彦彦株式会社等。影响最大的袭击事件是4月27日发生在美国华盛顿特区的大都会警察局(MPD)袭击事件。在此次袭击中,巴布克口出恶言,扬言如果警方不支付赎金,就会向当地黑帮泄露警方线人信息,并声称将继续袭击美国的FBI和CSA部门。袭击警察局巴布克组织声名鹊起,但这次袭击成为巴布克组织运作的转折点,组织因意见不合而开始分裂。据悉,“橙子”组织的管理员想通过泄露MPD数据进行宣传,而其他团伙成员反对:“虽然我们不是好人,但泄露警局数据也太过分了。”因此,巴布克组织与原先的管理者分道扬镳。AdminOrange建立了Ramp网络犯罪论坛,而其他人则启动了BabukV2以继续勒索软件攻击。然而,分手远非和平,因为Orange在遭受一系列DDoS攻击并变得无法使用后不久推出了Ramp网络犯罪论坛。奥兰治将这些攻击归咎于他的前伙伴:“这个新成立的小网站与他人无冤无仇,除了你谁会攻击我?”BabukV2团队表示不负责任:“分开后我过得很好,我已经完全忘记你了,我对你的论坛不感兴趣,这件事与我无关。”一个点名批评,一个否认三遍,然后更多的是与Babuk勒索软件行为相关的混淆:Babuk勒索软件生成器于6月下旬在线泄露;9月3日,Babuk组织一名成员在俄语黑客论坛上自称癌症晚期,并公开了Babuk勒索软件的完整源代码;97月7日,Babuk勒索团伙前管理员Orange在某黑客论坛上无偿泄露了Fortinet网络安全公司50万个VPN设备登录凭证列表。你泄露源码,我泄露VPN凭证,昔日伙伴反目成仇,上演暗斗大戏。这是有预谋的。虽然曾传出内部矛盾的丑闻,但这一次Groove组织的立场是坚定的。调查表明,这一大规模公告并非毫无准备。一家荷兰银行的研究人员发现,Orange于10月18日发帖称,它将辞去Ramp论坛管理员的职务,以专注于一项新的活动。第二天,他开始咄咄逼人地发帖,乞求为美国医院和政府机构购买互联网接入服务。如果Orange论坛上的买帖与Groove组织的公告有关,则表明该组织针对美国的袭击已经策划了一段时间,而此次美国政府针对REvil组织的执法活动恰恰点燃了俄罗斯勒索团伙的怒火,成为袭击的催化剂。EagleEagle的小群行为发生纯属巧合。本月中旬,白宫国家安全委员会召集了30个国家的官员,计划共同打击网络犯罪和勒索软件。与会者来自世界各地,但没有邀请俄罗斯。拜登政府还表示,这次会议将志同道合的国家聚集在一起打击勒索软件,是白宫与盟友合作的最好体现。尽管白宫国家安全顾问表示,美国正在通过其他渠道与俄罗斯进行谈判,但不邀请俄罗斯参加这样的“国际”反勒索软件会议,还是挺耐人寻味的。图图安全吗?在Groove组织发布的公告中,还出现了关于图图的彩蛋。Groove警告,不允许勒索软件攻击欺负图图。如果一味进攻,到处树敌,迟早会无路可走。如果俄罗斯政府突然对国内的网络犯罪采取更强硬的态度,这些犯罪团伙将别无选择,只能将他们的老伙伴Rabbitland视为避风港。虽然有这样的“保护”,但并不代表我国处于可以观战的安全位置。没有永远的朋友,也没有永远的敌人,更不用说这些敲诈勒索团伙是否会食言或犯错。更可怕的是,一国的勒索团伙或其他黑业组织联合起来攻击其他特定国家。一旦形成趋势,任何国家或地区都可能受到波及,面临严重威胁,网络空间地缘政治格局将更加复杂。总结随着地下市场的迅猛发展,敲诈勒索团伙不断壮大,作案动机也越来越复杂。一些敲诈勒索团伙的目的不再单纯是为了经济利益,而是逐渐转变为破坏甚至间谍活动。Groove组织这次的表态更是直白,毫不掩饰自己的对抗心理。Groove组织的公告是虚张声势还是有备而来?请继续关注这场声势浩大的“熊鹰之战”。
