Groove勒索軟件團(tuán)伙在暗網(wǎng)主頁(yè)呼吁所有勒索團(tuán)體應(yīng)該放棄競(jìng)爭(zhēng)團(tuán)結(jié)起來(lái)聯(lián)合搞砸美國(guó)公共部門。搞的全球媒體為之震動(dòng)，全球安全公司嚴(yán)陣以待。

　　但現(xiàn)在看來(lái)，你能想到這個(gè)新興的“Groove”勒索組織居然完全在玩弄全球安全公司和媒體，玩起了世紀(jì)大騙局。

　　Groove出世

　　Groove于8月22日首次在RAMP論壇上嶄露頭角，RAMP是一個(gè)新的且相當(dāng)獨(dú)特的俄語(yǔ)暗網(wǎng)網(wǎng)絡(luò)犯罪論壇。

　　RAMP論壇的管理員“Orange”在一篇帖子中寫道：“GROOVE首先是一個(gè)以經(jīng)濟(jì)為動(dòng)機(jī)的激進(jìn)犯罪組織，從事工業(yè)間諜活動(dòng)已有大約兩年時(shí)間，”該帖子要求論壇成員參加為新組織設(shè)計(jì)網(wǎng)站的競(jìng)賽?！白屛覀兠鞔_一點(diǎn)，我們不會(huì)無(wú)緣無(wú)故地做任何事情，所以歸根結(jié)底，我們將從這場(chǎng)比賽中受益最大。”

　　根據(jù)McAfee發(fā)布的一份報(bào)告，Orange推出RAMP論壇是為了吸引因威脅太大而被主要網(wǎng)絡(luò)犯罪論壇驅(qū)逐的與勒索軟件相關(guān)的黑客們，或抱怨被不同勒索軟件附屬計(jì)劃改變或完全僵化的網(wǎng)絡(luò)犯罪分子。

　　該報(bào)告稱RAMP論壇是Babuk勒索軟件團(tuán)伙成員之間糾紛的產(chǎn)物，其成員可能與另一個(gè)名為BlackMatter的勒索軟件組織有聯(lián)系。

　　“[McAfee] 高度自信地認(rèn)為，Groove幫派是Babuk幫派的前附屬或子集團(tuán)，他們?cè)敢馀c其他各方合作，只要他們能從中獲得經(jīng)濟(jì)利益，”報(bào)告稱。“因此，很可能與BlackMatter幫派有聯(lián)系?！?/p>

　　9月的第一周，Groove在其暗網(wǎng)博客上發(fā)布了近500000個(gè)Fortinet VPN產(chǎn)品客戶的登錄憑據(jù)、用戶名和密碼，可用于遠(yuǎn)程連接到易受攻擊的系統(tǒng)。Fortinet表示，這些憑據(jù)是從尚未實(shí)施2019年5月發(fā)布的補(bǔ)丁的系統(tǒng)中收集的。一些安全專家表示，F(xiàn)ortinet VPN用戶名和密碼的發(fā)布旨在吸引新的附屬機(jī)構(gòu)加入Groove。但這些憑據(jù)似乎更有可能是為了引起安全研究人員和記者的注意。

　　上周的某個(gè)時(shí)候，Groove的暗網(wǎng)博客消失了。在俄羅斯網(wǎng)絡(luò)犯罪論壇XSS上的一篇帖子中，一位使用“ Boriselcin ”句柄的老牌網(wǎng)絡(luò)騙子解釋說(shuō)，Groove 只不過(guò)是一個(gè)與媒體和安全行業(yè)搞砸的寵物項(xiàng)目。

　　“對(duì)于那些不明白發(fā)生了什么的人：我成立了一個(gè)假的，并給自己起了個(gè)名字Groove Gang”，Boriselcin寫道。帖子的其余部分寫道：

　　“他們來(lái)者不拒，我扔了50萬(wàn)個(gè)沒(méi)人需要的舊Fortinet[訪問(wèn)憑證]，他們照單全吃。我說(shuō)我將針對(duì)美國(guó)政府部門，他們依然照單全吃。很少有記者意識(shí)到這完全是一場(chǎng)表演，一個(gè)假的，一個(gè)騙局！我向那些想出這點(diǎn)的人表示敬意。我甚至不知道現(xiàn)在如何處理這個(gè)擁有大量流量的博客。也許賣掉它？現(xiàn)在我只需要開始寫[文章]，但我不能不檢查一切就開始寫它?！?/p>

　　回顧Boriselcin最近在XSS上的帖子表明他已經(jīng)計(jì)劃這個(gè)計(jì)劃好幾個(gè)月了。9月13日，Boriselcin發(fā)布了“幾個(gè)話題正在成熟”，并且他打算發(fā)表一篇關(guān)于欺騙全球媒體和安全公司的文章。

　　“通過(guò)勒索博客操縱全球大型信息安全公司和媒體，”他寫道。“這些天閱讀Twitter和新聞?wù)媸翘腥ち?，但到目前為止結(jié)果很好。觸發(fā)信息安全公司的預(yù)警，我們成了世界信息安全辦公室的供應(yīng)鏈?！?/p>

　　在其短暫的存在期間，Groove在其暗網(wǎng)受害者羞辱博客上只列出了少數(shù)受害者，導(dǎo)致一些人得出結(jié)論，該組織并沒(méi)有太大的威脅。

　　“我不會(huì)把這個(gè)太當(dāng)回事，”The Record 的網(wǎng)絡(luò)安全記者卡塔琳·辛帕努在回答有關(guān)Groove振臂高呼攻擊美國(guó)政府的利益時(shí)說(shuō)：“Groove是低級(jí)演員，技能很少。”

　　通常，當(dāng)網(wǎng)絡(luò)犯罪論壇或企業(yè)被證明是假的或騙局時(shí)，我們了解到整件事都是美國(guó)和/或其他國(guó)家的聯(lián)邦調(diào)查人員的誘騙行動(dòng)。也許我們沒(méi)有看到更多像 Boricelcin這樣的騙局的主要原因是因?yàn)槔锩鏇](méi)有涉及到錢。但這并不是說(shuō)他憤世嫉俗的策略沒(méi)有達(dá)到更大的目的。在過(guò)去的幾年里，我們看到多個(gè)勒索軟件團(tuán)伙重塑自我并重塑品牌，以逃避起訴或經(jīng)濟(jì)制裁。從這個(gè)角度來(lái)看，任何會(huì)造成混亂并使媒體和安全行業(yè)的時(shí)間和注意力遠(yuǎn)離真正威脅的事情都是網(wǎng)絡(luò)犯罪社區(qū)的凈利。

　　Flashpoint情報(bào)高級(jí)副總裁湯姆霍夫曼說(shuō)，“嘲笑西方媒體和記者是頂級(jí)網(wǎng)絡(luò)犯罪論壇上的常態(tài)?！薄昂苊黠@，犯罪分子閱讀了所有關(guān)于他們的新聞稿和Twitter聲明，”霍夫曼說(shuō)?！拔覀冎浪麄冎械囊恍┤酥皇窍虢o西方帶來(lái)痛苦，所以這種類型的拖釣可能會(huì)繼續(xù)下去。對(duì)這個(gè)人的高度關(guān)注，我想我們很快就會(huì)看到其他一些模仿者。”

　　大名鼎鼎的網(wǎng)絡(luò)情報(bào)公司Intel471則表示，雖然有可能是某個(gè)攻擊者炮制Groove來(lái)欺騙全球安全研究人員和媒體，但他們認(rèn)為更有可能的是，該攻擊者試圖創(chuàng)建自己的勒索軟件組但并沒(méi)有按計(jì)劃進(jìn)行。

　　“同樣重要的是要記住，任何勒索軟件即服務(wù)團(tuán)伙的真實(shí)身份和性質(zhì)并不總是很清楚，這些團(tuán)伙的成員構(gòu)成或附屬機(jī)構(gòu)可能是流動(dòng)的，”Intel471寫道?！氨M管如此，并且基于我們從多個(gè)來(lái)源進(jìn)行的研究，包括但不限于對(duì)共享基礎(chǔ)設(shè)施和受害者的觀察，我們相信‘boriselcin’運(yùn)營(yíng)著Groove博客和RAMP論壇是真的。因?yàn)榇巳耸嵌碚Z(yǔ)網(wǎng)絡(luò)犯罪社區(qū)的知名成員，與多個(gè)勒索軟件團(tuán)伙有聯(lián)系，并于8月提供1000美元，讓某人為Groove設(shè)計(jì)一個(gè)勒索軟件受害者羞辱博客。我們對(duì)演員提出的關(guān)于Groove從一開始就是精心設(shè)計(jì)的騙局的說(shuō)法表示懷疑，盡管我們將來(lái)看到黑客進(jìn)一步聲稱這一點(diǎn)也不會(huì)感到驚訝?！?/p>

　　如此看來(lái)真相真是撲朔迷離，或許只有時(shí)間給出答案。