事件背景

提前預警!俄羅斯勒索團伙Groove組織立了個Flag，組織所有熊熊國勒索團伙集中火力打倒鷹鷹怪!

以牙還牙的鷹鷹

10月17日，REvil勒索團伙服務器遭第三方入侵，宣布再次關閉運營。10月21日，路透社報道稱，REvil的下架是國際執(zhí)法行動的結果，包括FBI在內(nèi)的多個國家的執(zhí)法和情報機構聯(lián)合破壞了REvil的泄露站點和Tor支付站點。

安全公司稱，REvil運營商以為自己已經(jīng)從備份中恢復了運營，實際上，備份的內(nèi)部系統(tǒng)一直受美國政府的控制。

有趣的是，提前備份一直被視為免受勒索軟件攻擊的最佳方式。因為企業(yè)如果可以從備份中恢復系統(tǒng)，就不必向勒索組織付費來獲取解密密鑰。勒索軟件攻擊者也清楚備份的重要性，所以通常通過破壞受害者的備份，讓受害者無計可施乖乖交錢。而這一次，美國政府和合作伙伴以其人之道還治其人之身，破壞了REvil的備份，讓REvil這個獵人感受到了被捕食的滋味。這一次的打擊傷害性很大，侮辱性也強。不僅讓REvil再次關閉運營，還激怒了其他勒索組織。

[[431497]]

熊熊急了

路透社的報道一公開，許多勒索團伙立即在暗網(wǎng)上開噴。以攻擊美國醫(yī)院打響知名度的Conti組織稱：“美國針對REvil服務器的攻擊行為提醒了我們一件眾所周知的事：美國在世界事務中不斷展開單邊、域外和強盜行為。美國的50個州有任何一條法律可以認定這次對REvil服務器的攻擊是合法的嗎?勒索軟件才是真正的受害者!猜猜有史以來最大的勒索軟件組織是誰?就是你們老美的聯(lián)邦政府!”

[[431498]]

網(wǎng)絡安全公司Emisoft的分析師稱：“這些勒索團伙慌了!這些空洞的姿態(tài)不過是虛張聲勢罷了”。然而，不管這些極具破壞性的勒索團伙是不是真的緊張，對美國執(zhí)法部門共同的累計已久的抱怨，讓這些“熊熊”準備抱團，一致對外。在一眾憤怒的勒索團伙中，Groove組織首當其沖，在22號發(fā)表了一篇俄語博客文章，呼吁所有其他勒索軟件，停止彼此的競爭，內(nèi)部也不要再搞分裂，大家把格局打開，團結起來，一起集中火力以美國為目標，向這個糟老頭子展示展示誰才是互聯(lián)網(wǎng)的老大!

Groove勒索軟件發(fā)帖呼吁集中攻擊美國

Groove是誰?

這個“大格局”的Groove組織實際上是一個新型勒索軟件組織，成立時間不到半年，但眾所周知，Groove勒索團伙和大名鼎鼎的Babuk組織淵源不淺。Groove組織的核心成員“Orange”是Babuk組織的前管理員，也是以地下勒索軟件為中心的數(shù)字平臺RAMP的創(chuàng)建者。但Orange和Babuk組織的分手并不愉快，這背后還涉及一段勒索圈反目成仇的丑聞。

Babuk的分裂丑聞

Babuk勒索軟件于2020年12月首次被發(fā)現(xiàn)，曾多次攻擊國外著名的企業(yè)，如NBA休斯頓火箭隊、美國主要軍事承包商PDI集團以及日本制造商Yamabiko公司等，影響最大的攻擊事件是4月27日針對美國華盛頓特區(qū)大都會警察局(MPD)的攻擊。在這次攻擊中，Babuk放出狠話，威脅稱如果警方不交贖金就向當?shù)睾趲托孤毒骄€人信息，并聲稱會繼續(xù)攻擊美國的FBI及CSA部門。

對警察局的攻擊Babuk組織名聲大噪，但這次攻擊卻成為Babuk組織運營的轉(zhuǎn)折點，組織內(nèi)部因為意見不和開始搞分裂。據(jù)悉，組織的管理員“Orange”想通過泄露MPD的數(shù)據(jù)進行宣傳，而其他幫派成員則表示反對：“雖然我們不是什么好人，但泄露警察局數(shù)據(jù)這種事也太過分了。”因此，Babuk組織與最初的管理員分道揚鑣。管理員Orange建立了Ramp網(wǎng)絡犯罪論壇，其余的人則啟動了Babuk V2，繼續(xù)進行勒索軟件攻擊。

而這次分手卻不是和平分手，在Orange啟動Ramp網(wǎng)絡犯罪論壇后不久，該論壇就遭受了一系列 DDoS 攻擊，因此無法使用。Orange將這些攻擊歸咎于他的前合作伙伴們：“這剛建立的小網(wǎng)站和別人無冤無仇，除了你們有誰會對我下手?”而 Babuk V2 團隊表示，他們沒有責任：“分開之后我過得很好，已經(jīng)完全忘記你了，對你的論壇也不感興趣，這件事情與我無關。”一個點名批評，一個否認三連，而后也出現(xiàn)了更多和Babuk勒索軟件相關的迷惑行為：

• 6月底，Babuk勒索軟件構建器在網(wǎng)上泄露;
• 9月3日，Babuk小組的一名成員在一個俄語黑客論壇上聲稱自己患有晚期癌癥，并發(fā)布了Babuk勒索軟件的完整源代碼;
• 9月7日，前Babuk勒索團伙的管理員Orange在黑客論壇上免費泄露了50萬條Fortinet網(wǎng)絡安全公司的VPN設備登錄憑證清單。

你泄露源代碼，我泄露VPN憑證，曾經(jīng)的伙伴反目成仇，一直在上演暗中較勁的大戲。

[[431499]]

早有預謀

雖然曾有過內(nèi)部矛盾的丑聞，但是Groove組織這一次可是立場堅定，不搞內(nèi)訌，一致對外，堅決打倒美利堅。調(diào)查表明，這波聲勢浩大的宣告并不是沒有準備。一家荷蘭銀行的研究人員發(fā)現(xiàn)，Orange在10月18日發(fā)帖稱將辭去Ramp論壇管理員的身份，專心開展一項新的活動。次日，他開始積極發(fā)帖，求購美國醫(yī)院和政府機構的網(wǎng)絡訪問權限。

如果Orange論壇發(fā)布的求購帖子與Groove組織的公告相關，這表明該組織針對美國的攻擊已經(jīng)計劃了一段時間，而此次美國政府對REvil組織的執(zhí)法活動，正好點燃了俄羅斯勒索團伙的怒火，成為攻擊行動的催化劑。

鷹鷹的小團體行為

好巧不巧，本月中旬，白宮國家安全委員會召集了來自30個國家的官員，計劃共同打擊網(wǎng)絡犯罪和勒索軟件，與會者來自全球各地，卻沒有邀請俄羅斯。拜登政府還表示，此次會議聚集了在打擊勒索軟件方面志同道合的國家，是白宮與盟友合作的最佳展示。盡管白宮國家安全顧問表示，美國正在與俄羅斯通過別的途徑進行談判，但這樣一個“國際性”反勒索軟件會議，卻不邀請俄羅斯，其中用意也是耐人尋味。

兔兔是否安全?

在Groove組織發(fā)布的公告中，也出現(xiàn)了關于兔兔的彩蛋。Groove警告稱，勒索軟件攻擊不許欺負兔兔，如果一味進行攻擊，四處樹敵，遲早有走投無路的一天。如果俄羅斯政府突然對在國內(nèi)開展的網(wǎng)絡犯罪采取更強硬的態(tài)度，這些團伙只能將他們的老伙計兔子國作為避風港。雖然有這樣的“保護”，但這并不意味著我國處于可以觀戰(zhàn)的安全立場。沒有永遠的朋友，也沒有永遠的敵人，且不說這些勒索團伙是否會出爾反爾，或是聲東擊西，更可怕的是，一個國家的勒索團伙或其他黑產(chǎn)組織集中合作，攻擊其他特定國家的行為，一旦形成趨勢，任何國家或地區(qū)都有可能被殃及，面臨嚴重的威脅，網(wǎng)絡空間的地緣政治也會變得更加復雜。

總結

隨著地下市場的飛速發(fā)展，勒索團伙不斷壯大，動機也越來越復雜，有些勒索團伙的目的已經(jīng)不再是單純的經(jīng)濟獲益，而是逐漸轉(zhuǎn)化為破壞活動甚至是間諜活動。而Groove組織此次的宣告更是直接了當，毫不掩飾自己的對抗心理。Groove組織的宣告到底是虛張聲勢還是有備而來，請持續(xù)關注這場聲勢浩大的“熊鷹之戰(zhàn)”。