Groove勒索軟件團伙在暗網(wǎng)主頁呼吁所有勒索團體應(yīng)該放棄競爭團結(jié)起來聯(lián)合搞砸美國公共部門。搞的全球媒體為之震動，全球安全公司嚴陣以待。

　　但現(xiàn)在看來，你能想到這個新興的“Groove”勒索組織居然完全在玩弄全球安全公司和媒體，玩起了世紀大騙局。

　　Groove出世

　　Groove于8月22日首次在RAMP論壇上嶄露頭角，RAMP是一個新的且相當獨特的俄語暗網(wǎng)網(wǎng)絡(luò)犯罪論壇。

　　RAMP論壇的管理員“Orange”在一篇帖子中寫道：“GROOVE首先是一個以經(jīng)濟為動機的激進犯罪組織，從事工業(yè)間諜活動已有大約兩年時間，”該帖子要求論壇成員參加為新組織設(shè)計網(wǎng)站的競賽?！白屛覀兠鞔_一點，我們不會無緣無故地做任何事情，所以歸根結(jié)底，我們將從這場比賽中受益最大?！?/p>

　　根據(jù)McAfee發(fā)布的一份報告，Orange推出RAMP論壇是為了吸引因威脅太大而被主要網(wǎng)絡(luò)犯罪論壇驅(qū)逐的與勒索軟件相關(guān)的黑客們，或抱怨被不同勒索軟件附屬計劃改變或完全僵化的網(wǎng)絡(luò)犯罪分子。

　　該報告稱RAMP論壇是Babuk勒索軟件團伙成員之間糾紛的產(chǎn)物，其成員可能與另一個名為BlackMatter的勒索軟件組織有聯(lián)系。

　　“[McAfee] 高度自信地認為，Groove幫派是Babuk幫派的前附屬或子集團，他們愿意與其他各方合作，只要他們能從中獲得經(jīng)濟利益，”報告稱?！耙虼耍芸赡芘cBlackMatter幫派有聯(lián)系。”

　　9月的第一周，Groove在其暗網(wǎng)博客上發(fā)布了近500000個Fortinet VPN產(chǎn)品客戶的登錄憑據(jù)、用戶名和密碼，可用于遠程連接到易受攻擊的系統(tǒng)。Fortinet表示，這些憑據(jù)是從尚未實施2019年5月發(fā)布的補丁的系統(tǒng)中收集的。一些安全專家表示，F(xiàn)ortinet VPN用戶名和密碼的發(fā)布旨在吸引新的附屬機構(gòu)加入Groove。但這些憑據(jù)似乎更有可能是為了引起安全研究人員和記者的注意。

　　上周的某個時候，Groove的暗網(wǎng)博客消失了。在俄羅斯網(wǎng)絡(luò)犯罪論壇XSS上的一篇帖子中，一位使用“ Boriselcin ”句柄的老牌網(wǎng)絡(luò)騙子解釋說，Groove 只不過是一個與媒體和安全行業(yè)搞砸的寵物項目。

　　“對于那些不明白發(fā)生了什么的人：我成立了一個假的，并給自己起了個名字Groove Gang”，Boriselcin寫道。帖子的其余部分寫道：

　　“他們來者不拒，我扔了50萬個沒人需要的舊Fortinet[訪問憑證]，他們照單全吃。我說我將針對美國政府部門，他們依然照單全吃。很少有記者意識到這完全是一場表演，一個假的，一個騙局！我向那些想出這點的人表示敬意。我甚至不知道現(xiàn)在如何處理這個擁有大量流量的博客。也許賣掉它？現(xiàn)在我只需要開始寫[文章]，但我不能不檢查一切就開始寫它。”

　　回顧Boriselcin最近在XSS上的帖子表明他已經(jīng)計劃這個計劃好幾個月了。9月13日，Boriselcin發(fā)布了“幾個話題正在成熟”，并且他打算發(fā)表一篇關(guān)于欺騙全球媒體和安全公司的文章。

　　“通過勒索博客操縱全球大型信息安全公司和媒體，”他寫道?！斑@些天閱讀Twitter和新聞?wù)媸翘腥ち?，但到目前為止結(jié)果很好。觸發(fā)信息安全公司的預(yù)警，我們成了世界信息安全辦公室的供應(yīng)鏈?！?/p>

　　在其短暫的存在期間，Groove在其暗網(wǎng)受害者羞辱博客上只列出了少數(shù)受害者，導(dǎo)致一些人得出結(jié)論，該組織并沒有太大的威脅。

　　“我不會把這個太當回事，”The Record 的網(wǎng)絡(luò)安全記者卡塔琳·辛帕努在回答有關(guān)Groove振臂高呼攻擊美國政府的利益時說：“Groove是低級演員，技能很少。”

　　通常，當網(wǎng)絡(luò)犯罪論壇或企業(yè)被證明是假的或騙局時，我們了解到整件事都是美國和/或其他國家的聯(lián)邦調(diào)查人員的誘騙行動。也許我們沒有看到更多像 Boricelcin這樣的騙局的主要原因是因為里面沒有涉及到錢。但這并不是說他憤世嫉俗的策略沒有達到更大的目的。在過去的幾年里，我們看到多個勒索軟件團伙重塑自我并重塑品牌，以逃避起訴或經(jīng)濟制裁。從這個角度來看，任何會造成混亂并使媒體和安全行業(yè)的時間和注意力遠離真正威脅的事情都是網(wǎng)絡(luò)犯罪社區(qū)的凈利。

　　Flashpoint情報高級副總裁湯姆霍夫曼說，“嘲笑西方媒體和記者是頂級網(wǎng)絡(luò)犯罪論壇上的常態(tài)。”“很明顯，犯罪分子閱讀了所有關(guān)于他們的新聞稿和Twitter聲明，”霍夫曼說?！拔覀冎浪麄冎械囊恍┤酥皇窍虢o西方帶來痛苦，所以這種類型的拖釣可能會繼續(xù)下去。對這個人的高度關(guān)注，我想我們很快就會看到其他一些模仿者?！?/p>

　　大名鼎鼎的網(wǎng)絡(luò)情報公司Intel471則表示，雖然有可能是某個攻擊者炮制Groove來欺騙全球安全研究人員和媒體，但他們認為更有可能的是，該攻擊者試圖創(chuàng)建自己的勒索軟件組但并沒有按計劃進行。

　　“同樣重要的是要記住，任何勒索軟件即服務(wù)團伙的真實身份和性質(zhì)并不總是很清楚，這些團伙的成員構(gòu)成或附屬機構(gòu)可能是流動的，”Intel471寫道。“盡管如此，并且基于我們從多個來源進行的研究，包括但不限于對共享基礎(chǔ)設(shè)施和受害者的觀察，我們相信‘boriselcin’運營著Groove博客和RAMP論壇是真的。因為此人是俄語網(wǎng)絡(luò)犯罪社區(qū)的知名成員，與多個勒索軟件團伙有聯(lián)系，并于8月提供1000美元，讓某人為Groove設(shè)計一個勒索軟件受害者羞辱博客。我們對演員提出的關(guān)于Groove從一開始就是精心設(shè)計的騙局的說法表示懷疑，盡管我們將來看到黑客進一步聲稱這一點也不會感到驚訝?！?/p>

　　如此看來真相真是撲朔迷離，或許只有時間給出答案。