危險(xiǎn)!熊熊國勒索團(tuán)伙計(jì)劃集中火力攻擊鷹鷹怪!
事件背景
提前預(yù)警!俄羅斯勒索團(tuán)伙Groove組織立了個(gè)Flag,組織所有熊熊國勒索團(tuán)伙集中火力打倒鷹鷹怪!
以牙還牙的鷹鷹
10月17日,REvil勒索團(tuán)伙服務(wù)器遭第三方入侵,宣布再次關(guān)閉運(yùn)營。10月21日,路透社報(bào)道稱,REvil的下架是國際執(zhí)法行動(dòng)的結(jié)果,包括FBI在內(nèi)的多個(gè)國家的執(zhí)法和情報(bào)機(jī)構(gòu)聯(lián)合破壞了REvil的泄露站點(diǎn)和Tor支付站點(diǎn)。
安全公司稱,REvil運(yùn)營商以為自己已經(jīng)從備份中恢復(fù)了運(yùn)營,實(shí)際上,備份的內(nèi)部系統(tǒng)一直受美國政府的控制。
有趣的是,提前備份一直被視為免受勒索軟件攻擊的最佳方式。因?yàn)槠髽I(yè)如果可以從備份中恢復(fù)系統(tǒng),就不必向勒索組織付費(fèi)來獲取解密密鑰。勒索軟件攻擊者也清楚備份的重要性,所以通常通過破壞受害者的備份,讓受害者無計(jì)可施乖乖交錢。而這一次,美國政府和合作伙伴以其人之道還治其人之身,破壞了REvil的備份,讓REvil這個(gè)獵人感受到了被捕食的滋味。這一次的打擊傷害性很大,侮辱性也強(qiáng)。不僅讓REvil再次關(guān)閉運(yùn)營,還激怒了其他勒索組織。
熊熊急了
路透社的報(bào)道一公開,許多勒索團(tuán)伙立即在暗網(wǎng)上開噴。以攻擊美國醫(yī)院打響知名度的Conti組織稱:“美國針對REvil服務(wù)器的攻擊行為提醒了我們一件眾所周知的事:美國在世界事務(wù)中不斷展開單邊、域外和強(qiáng)盜行為。美國的50個(gè)州有任何一條法律可以認(rèn)定這次對REvil服務(wù)器的攻擊是合法的嗎?勒索軟件才是真正的受害者!猜猜有史以來最大的勒索軟件組織是誰?就是你們老美的聯(lián)邦政府!”
網(wǎng)絡(luò)安全公司Emisoft的分析師稱:“這些勒索團(tuán)伙慌了!這些空洞的姿態(tài)不過是虛張聲勢罷了”。然而,不管這些極具破壞性的勒索團(tuán)伙是不是真的緊張,對美國執(zhí)法部門共同的累計(jì)已久的抱怨,讓這些“熊熊”準(zhǔn)備抱團(tuán),一致對外。在一眾憤怒的勒索團(tuán)伙中,Groove組織首當(dāng)其沖,在22號(hào)發(fā)表了一篇俄語博客文章,呼吁所有其他勒索軟件,停止彼此的競爭,內(nèi)部也不要再搞分裂,大家把格局打開,團(tuán)結(jié)起來,一起集中火力以美國為目標(biāo),向這個(gè)糟老頭子展示展示誰才是互聯(lián)網(wǎng)的老大!
Groove勒索軟件發(fā)帖呼吁集中攻擊美國
Groove是誰?
這個(gè)“大格局”的Groove組織實(shí)際上是一個(gè)新型勒索軟件組織,成立時(shí)間不到半年,但眾所周知,Groove勒索團(tuán)伙和大名鼎鼎的Babuk組織淵源不淺。Groove組織的核心成員“Orange”是Babuk組織的前管理員,也是以地下勒索軟件為中心的數(shù)字平臺(tái)RAMP的創(chuàng)建者。但Orange和Babuk組織的分手并不愉快,這背后還涉及一段勒索圈反目成仇的丑聞。
Babuk的分裂丑聞
Babuk勒索軟件于2020年12月首次被發(fā)現(xiàn),曾多次攻擊國外著名的企業(yè),如NBA休斯頓火箭隊(duì)、美國主要軍事承包商PDI集團(tuán)以及日本制造商Yamabiko公司等,影響最大的攻擊事件是4月27日針對美國華盛頓特區(qū)大都會(huì)警察局(MPD)的攻擊。在這次攻擊中,Babuk放出狠話,威脅稱如果警方不交贖金就向當(dāng)?shù)睾趲托孤毒骄€人信息,并聲稱會(huì)繼續(xù)攻擊美國的FBI及CSA部門。
對警察局的攻擊Babuk組織名聲大噪,但這次攻擊卻成為Babuk組織運(yùn)營的轉(zhuǎn)折點(diǎn),組織內(nèi)部因?yàn)橐庖姴缓烷_始搞分裂。據(jù)悉,組織的管理員“Orange”想通過泄露MPD的數(shù)據(jù)進(jìn)行宣傳,而其他幫派成員則表示反對:“雖然我們不是什么好人,但泄露警察局?jǐn)?shù)據(jù)這種事也太過分了。”因此,Babuk組織與最初的管理員分道揚(yáng)鑣。管理員Orange建立了Ramp網(wǎng)絡(luò)犯罪論壇,其余的人則啟動(dòng)了Babuk V2,繼續(xù)進(jìn)行勒索軟件攻擊。
而這次分手卻不是和平分手,在Orange啟動(dòng)Ramp網(wǎng)絡(luò)犯罪論壇后不久,該論壇就遭受了一系列 DDoS 攻擊,因此無法使用。Orange將這些攻擊歸咎于他的前合作伙伴們:“這剛建立的小網(wǎng)站和別人無冤無仇,除了你們有誰會(huì)對我下手?”而 Babuk V2 團(tuán)隊(duì)表示,他們沒有責(zé)任:“分開之后我過得很好,已經(jīng)完全忘記你了,對你的論壇也不感興趣,這件事情與我無關(guān)。”一個(gè)點(diǎn)名批評(píng),一個(gè)否認(rèn)三連,而后也出現(xiàn)了更多和Babuk勒索軟件相關(guān)的迷惑行為:
- 6月底,Babuk勒索軟件構(gòu)建器在網(wǎng)上泄露;
- 9月3日,Babuk小組的一名成員在一個(gè)俄語黑客論壇上聲稱自己患有晚期癌癥,并發(fā)布了Babuk勒索軟件的完整源代碼;
- 9月7日,前Babuk勒索團(tuán)伙的管理員Orange在黑客論壇上免費(fèi)泄露了50萬條Fortinet網(wǎng)絡(luò)安全公司的VPN設(shè)備登錄憑證清單。
你泄露源代碼,我泄露VPN憑證,曾經(jīng)的伙伴反目成仇,一直在上演暗中較勁的大戲。
早有預(yù)謀
雖然曾有過內(nèi)部矛盾的丑聞,但是Groove組織這一次可是立場堅(jiān)定,不搞內(nèi)訌,一致對外,堅(jiān)決打倒美利堅(jiān)。調(diào)查表明,這波聲勢浩大的宣告并不是沒有準(zhǔn)備。一家荷蘭銀行的研究人員發(fā)現(xiàn),Orange在10月18日發(fā)帖稱將辭去Ramp論壇管理員的身份,專心開展一項(xiàng)新的活動(dòng)。次日,他開始積極發(fā)帖,求購美國醫(yī)院和政府機(jī)構(gòu)的網(wǎng)絡(luò)訪問權(quán)限。
如果Orange論壇發(fā)布的求購帖子與Groove組織的公告相關(guān),這表明該組織針對美國的攻擊已經(jīng)計(jì)劃了一段時(shí)間,而此次美國政府對REvil組織的執(zhí)法活動(dòng),正好點(diǎn)燃了俄羅斯勒索團(tuán)伙的怒火,成為攻擊行動(dòng)的催化劑。
鷹鷹的小團(tuán)體行為
好巧不巧,本月中旬,白宮國家安全委員會(huì)召集了來自30個(gè)國家的官員,計(jì)劃共同打擊網(wǎng)絡(luò)犯罪和勒索軟件,與會(huì)者來自全球各地,卻沒有邀請俄羅斯。拜登政府還表示,此次會(huì)議聚集了在打擊勒索軟件方面志同道合的國家,是白宮與盟友合作的最佳展示。盡管白宮國家安全顧問表示,美國正在與俄羅斯通過別的途徑進(jìn)行談判,但這樣一個(gè)“國際性”反勒索軟件會(huì)議,卻不邀請俄羅斯,其中用意也是耐人尋味。
兔兔是否安全?
在Groove組織發(fā)布的公告中,也出現(xiàn)了關(guān)于兔兔的彩蛋。Groove警告稱,勒索軟件攻擊不許欺負(fù)兔兔,如果一味進(jìn)行攻擊,四處樹敵,遲早有走投無路的一天。如果俄羅斯政府突然對在國內(nèi)開展的網(wǎng)絡(luò)犯罪采取更強(qiáng)硬的態(tài)度,這些團(tuán)伙只能將他們的老伙計(jì)兔子國作為避風(fēng)港。雖然有這樣的“保護(hù)”,但這并不意味著我國處于可以觀戰(zhàn)的安全立場。沒有永遠(yuǎn)的朋友,也沒有永遠(yuǎn)的敵人,且不說這些勒索團(tuán)伙是否會(huì)出爾反爾,或是聲東擊西,更可怕的是,一個(gè)國家的勒索團(tuán)伙或其他黑產(chǎn)組織集中合作,攻擊其他特定國家的行為,一旦形成趨勢,任何國家或地區(qū)都有可能被殃及,面臨嚴(yán)重的威脅,網(wǎng)絡(luò)空間的地緣政治也會(huì)變得更加復(fù)雜。
總結(jié)
隨著地下市場的飛速發(fā)展,勒索團(tuán)伙不斷壯大,動(dòng)機(jī)也越來越復(fù)雜,有些勒索團(tuán)伙的目的已經(jīng)不再是單純的經(jīng)濟(jì)獲益,而是逐漸轉(zhuǎn)化為破壞活動(dòng)甚至是間諜活動(dòng)。而Groove組織此次的宣告更是直接了當(dāng),毫不掩飾自己的對抗心理。Groove組織的宣告到底是虛張聲勢還是有備而來,請持續(xù)關(guān)注這場聲勢浩大的“熊鷹之戰(zhàn)”。
