事件背景
提前预警!俄罗斯勒索团伙Groove组织立了个Flag,组织所有熊熊国勒索团伙集中火力打倒鹰鹰怪!
以牙还牙的鹰鹰
10月17日,REvil勒索团伙服务器遭第三方入侵,宣布再次关闭运营。10月21日,路透社报道称,REvil的下架是国际执法行动的结果,包括FBI在内的多个国家的执法和情报机构联合破坏了REvil的泄露站点和Tor支付站点。
安全公司称,REvil运营商以为自己已经从备份中恢复了运营,实际上,备份的内部系统一直受美国政府的控制。
有趣的是,提前备份一直被视为免受勒索软件攻击的最佳方式。因为企业如果可以从备份中恢复系统,就不必向勒索组织付费来获取解密密钥。勒索软件攻击者也清楚备份的重要性,所以通常通过破坏受害者的备份,让受害者无计可施乖乖交钱。而这一次,美国政府和合作伙伴以其人之道还治其人之身,破坏了REvil的备份,让REvil这个猎人感受到了被捕食的滋味。这一次的打击伤害性很大,侮辱性也强。不仅让REvil再次关闭运营,还激怒了其他勒索组织。
熊熊急了
路透社的报道一公开,许多勒索团伙立即在暗网上开喷。以攻击美国医院打响知名度的Conti组织称:“美国针对REvil服务器的攻击行为提醒了我们一件众所周知的事:美国在世界事务中不断展开单边、域外和强盗行为。美国的50个州有任何一条法律可以认定这次对REvil服务器的攻击是合法的吗?勒索软件才是真正的受害者!猜猜有史以来最大的勒索软件组织是谁?就是你们老美的联邦政府!”
网络安全公司Emisoft的分析师称:“这些勒索团伙慌了!这些空洞的姿态不过是虚张声势罢了”。然而,不管这些极具破坏性的勒索团伙是不是真的紧张,对美国执法部门共同的累计已久的抱怨,让这些“熊熊”准备抱团,一致对外。在一众愤怒的勒索团伙中,Groove组织首当其冲,在22号发表了一篇俄语博客文章,呼吁所有其他勒索软件,停止彼此的竞争,内部也不要再搞分裂,大家把格局打开,团结起来,一起集中火力以美国为目标,向这个糟老头子展示展示谁才是互联网的老大!
Groove勒索软件发帖呼吁集中攻击美国
Groove是谁?
这个“大格局”的Groove组织实际上是一个新型勒索软件组织,成立时间不到半年,但众所周知,Groove勒索团伙和大名鼎鼎的Babuk组织渊源不浅。Groove组织的核心成员“Orange”是Babuk组织的前管理员,也是以地下勒索软件为中心的数字平台RAMP的创建者。但Orange和Babuk组织的分手并不愉快,这背后还涉及一段勒索圈反目成仇的丑闻。
Babuk的分裂丑闻
Babuk勒索软件于2020年12月首次被发现,曾多次攻击国外著名的企业,如NBA休斯顿火箭队、美国主要军事承包商PDI集团以及日本制造商Yamabiko公司等,影响最大的攻击事件是4月27日针对美国华盛顿特区大都会警察局(MPD)的攻击。在这次攻击中,Babuk放出狠话,威胁称如果警方不交赎金就向当地黑帮泄露警方线人信息,并声称会继续攻击美国的FBI及CSA部门。
对警察局的攻击Babuk组织名声大噪,但这次攻击却成为Babuk组织运营的转折点,组织内部因为意见不和开始搞分裂。据悉,组织的管理员“Orange”想通过泄露MPD的数据进行宣传,而其他帮派成员则表示反对:“虽然我们不是什么好人,但泄露警察局数据这种事也太过分了。”因此,Babuk组织与最初的管理员分道扬镳。管理员Orange建立了Ramp网络犯罪论坛,其余的人则启动了Babuk V2,继续进行勒索软件攻击。
而这次分手却不是和平分手,在Orange启动Ramp网络犯罪论坛后不久,该论坛就遭受了一系列 DDoS 攻击,因此无法使用。Orange将这些攻击归咎于他的前合作伙伴们:“这刚建立的小网站和别人无冤无仇,除了你们有谁会对我下手?”而 Babuk V2 团队表示,他们没有责任:“分开之后我过得很好,已经完全忘记你了,对你的论坛也不感兴趣,这件事情与我无关。”一个点名批评,一个否认三连,而后也出现了更多和Babuk勒索软件相关的迷惑行为:
- 6月底,Babuk勒索软件构建器在网上泄露;
- 9月3日,Babuk小组的一名成员在一个俄语黑客论坛上声称自己患有晚期癌症,并发布了Babuk勒索软件的完整源代码;
- 9月7日,前Babuk勒索团伙的管理员Orange在黑客论坛上免费泄露了50万条Fortinet网络安全公司的VPN设备登录凭证清单。
你泄露源代码,我泄露VPN凭证,曾经的伙伴反目成仇,一直在上演暗中较劲的大戏。
早有预谋
虽然曾有过内部矛盾的丑闻,但是Groove组织这一次可是立场坚定,不搞内讧,一致对外,坚决打倒美利坚。调查表明,这波声势浩大的宣告并不是没有准备。一家荷兰银行的研究人员发现,Orange在10月18日发帖称将辞去Ramp论坛管理员的身份,专心开展一项新的活动。次日,他开始积极发帖,求购美国医院和政府机构的网络访问权限。
如果Orange论坛发布的求购帖子与Groove组织的公告相关,这表明该组织针对美国的攻击已经计划了一段时间,而此次美国政府对REvil组织的执法活动,正好点燃了俄罗斯勒索团伙的怒火,成为攻击行动的催化剂。
鹰鹰的小团体行为
好巧不巧,本月中旬,白宫国家安全委员会召集了来自30个国家的官员,计划共同打击网络犯罪和勒索软件,与会者来自全球各地,却没有邀请俄罗斯。拜登政府还表示,此次会议聚集了在打击勒索软件方面志同道合的国家,是白宫与盟友合作的最佳展示。尽管白宫国家安全顾问表示,美国正在与俄罗斯通过别的途径进行谈判,但这样一个“国际性”反勒索软件会议,却不邀请俄罗斯,其中用意也是耐人寻味。
兔兔是否安全?
在Groove组织发布的公告中,也出现了关于兔兔的彩蛋。Groove警告称,勒索软件攻击不许欺负兔兔,如果一味进行攻击,四处树敌,迟早有走投无路的一天。如果俄罗斯政府突然对在国内开展的网络犯罪采取更强硬的态度,这些团伙只能将他们的老伙计兔子国作为避风港。虽然有这样的“保护”,但这并不意味着我国处于可以观战的安全立场。没有永远的朋友,也没有永远的敌人,且不说这些勒索团伙是否会出尔反尔,或是声东击西,更可怕的是,一个国家的勒索团伙或其他黑产组织集中合作,攻击其他特定国家的行为,一旦形成趋势,任何国家或地区都有可能被殃及,面临严重的威胁,网络空间的地缘政治也会变得更加复杂。
总结
随着地下市场的飞速发展,勒索团伙不断壮大,动机也越来越复杂,有些勒索团伙的目的已经不再是单纯的经济获益,而是逐渐转化为破坏活动甚至是间谍活动。而Groove组织此次的宣告更是直接了当,毫不掩饰自己的对抗心理。Groove组织的宣告到底是虚张声势还是有备而来,请持续关注这场声势浩大的“熊鹰之战”。