昨天西方科技媒體曝光俄語(yǔ)網(wǎng)絡(luò)犯罪論壇上正在醞釀一些不尋常的活動(dòng)，傳俄黑客似乎正在與中國(guó)黑客聯(lián)系以尋求合作。報(bào)道稱這些招募中國(guó)黑客的嘗試主要出現(xiàn)在RAMP黑客論壇上，該論壇鼓勵(lì)說(shuō)普通話的黑客參與對(duì)話、分享技巧和合作攻擊。

　　根據(jù)Flashpoint的一份新報(bào)告，該論壇高級(jí)用戶和RAMP論壇管理員現(xiàn)在正在積極嘗試用機(jī)器翻譯的中文與新的論壇成員進(jìn)行交流。報(bào)道稱該論壇至少有30名新用戶注冊(cè)似乎來(lái)自中國(guó)，說(shuō)這可能是值得注意的開始。

　　研究人員就此認(rèn)為，最可能的原因是俄勒索軟件團(tuán)伙尋求與中國(guó)行為者建立聯(lián)盟，以對(duì)美國(guó)目標(biāo)發(fā)起網(wǎng)絡(luò)攻擊、交易漏洞，甚至為其勒索軟件即服務(wù) （RaaS） 運(yùn)營(yíng)招募新人才。

　　你們看懂了沒(méi)！

　　據(jù)稱一名威脅分析師本月早些時(shí)候透露，該計(jì)劃是由RAMP管理員Kajit發(fā)起，他聲稱最近在中國(guó)呆了一段時(shí)間并且會(huì)說(shuō)中文。在RAMP的先前論壇中，他曾暗示他將邀請(qǐng)“中國(guó)黑客”參加論壇，現(xiàn)在似乎正在舉行。

　　然而，試圖與“中國(guó)黑客”合作者的俄黑客不僅限于RAMP黑客論壇，F(xiàn)lashpoint聲稱自己在XSS黑客論壇上也看到了類似的合作?！霸谙旅娴钠聊唤貓D中，XSS用戶‘hoffman’向兩名自稱是中國(guó)人的論壇成員打招呼，”  Flashpoint的新研究解釋說(shuō) ?！昂诳蛦?wèn)他們是否可以提供有關(guān)勒索軟件和購(gòu)買各種系統(tǒng)漏洞的信息。語(yǔ)言似乎是機(jī)器翻譯的中文?！?/p>

　　根據(jù)與RAMP管理員相關(guān)的先前歷史，F(xiàn)lashpoint強(qiáng)調(diào)這始終有可能只是一個(gè)煙幕彈，其實(shí)并沒(méi)有真正的中國(guó)用戶加入RAMP。

　　上個(gè)月，也就是四周前，我們發(fā)布了：

　　一勒索組織呼吁所有勒索組織聯(lián)合“搞砸美國(guó)”

　　其中涉及Groove勒索發(fā)布的一張圖：

　　翻譯成英文

　　博文除了呼吁聯(lián)合“搞砸美國(guó)”外，還警告不要針對(duì)中國(guó)公司發(fā)動(dòng)勒索軟件攻擊，因?yàn)槿绻砹_斯對(duì)在其國(guó)內(nèi)開展的網(wǎng)絡(luò)犯罪采取更強(qiáng)硬的立場(chǎng)，這些團(tuán)伙將需要避風(fēng)港。

　　部分翻譯后的信息，可以在下面閱讀：

　　“在美國(guó)政府試圖對(duì)抗我們的困難和困難時(shí)期，我呼吁所有合作伙伴停止競(jìng)爭(zhēng)，團(tuán)結(jié)起來(lái)，開始搞砸美國(guó)公共部門，向這個(gè)老頭子展示誰(shuí)是互聯(lián)網(wǎng)上的老大（……）我敦促不要攻擊中國(guó)公司，因?yàn)槿绻覀兊淖鎳?guó)突然對(duì)我們強(qiáng)硬，我們必須依賴我們的好鄰居——中國(guó)，我們?cè)摵稳ズ螐?！balabala…” - Groove 勒索軟件

　　在國(guó)外主流科技媒體報(bào)道了這篇文章后，Groove黑客聲稱該操作從一開始就是假的，并且是為了拖釣和操縱媒體和安全研究人員而創(chuàng)建的（俗稱：媒體黑客攻擊）。（延伸閱讀：振臂高呼只為玩弄全球安全公司和媒體？）

　　來(lái)自McAfee和Intel 471的安全研究人員認(rèn)為 ，這很可能只是威脅行為者試圖掩蓋其嘗試的勒索軟件即服務(wù)未按計(jì)劃運(yùn)行的事實(shí)。

　　與Groove相關(guān)的基礎(chǔ)設(shè)施是否托管了至少與美國(guó)警察局和NBA棒球隊(duì)相關(guān)的數(shù)據(jù)，因此受害者是真實(shí)的。隨著勒索軟件參與者的壓力越來(lái)越大，他們可以使用更復(fù)雜的借口，但最終證據(jù)仍然存在。

　　- 約翰?？?（@John_Fokker） 2021年11月4日

　　因此，外媒稱RAMP管理員的先前行動(dòng)讓人以懷疑的態(tài)度對(duì)待他們所說(shuō)的任何事情。

　　然而，Conti勒索軟件操作最近發(fā)布到RAMP論壇，以招募附屬機(jī)構(gòu)并購(gòu)買網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。在與外媒共享的屏幕截圖中，該團(tuán)伙表示他們通常只與講俄語(yǔ)的黑客合作，但出于對(duì)RAMP管理員的尊重，他們將講中文的威脅行為者作為例外。

　　“這個(gè)廣告是俄文的，因?yàn)槲覀冎慌c俄語(yǔ)人士合作。但是，出于對(duì)管理員的尊重，我們將為講中文的用戶破例，甚至將這條消息翻譯成中文（您甚至可以用普通話和粵語(yǔ)?。? Conti勒索團(tuán)隊(duì)。

　　也因此，西方媒體就認(rèn)為RAMP論壇似乎確實(shí)在積極邀請(qǐng)講中文的黑客參與對(duì)話和攻擊。

　　轉(zhuǎn)移注意力 Or 引戰(zhàn)

　　現(xiàn)在RAMP重新上線，人數(shù)似乎正在增長(zhǎng)，盡管它在推出后不久就被DDOS攻擊。RAMP是去年夏天由原始Babuk勒索軟件團(tuán)伙的一名核心成員建立的，旨在作為一個(gè)新的地方來(lái)泄露從網(wǎng)絡(luò)攻擊中竊取的寶貴數(shù)據(jù)并招募勒索軟件附屬機(jī)構(gòu)。

　　9月份，RAMP管理員發(fā)布了498908個(gè)Fortinet VPN憑據(jù)以訪問(wèn)全球各種公司網(wǎng)絡(luò)上的12856臺(tái)設(shè)備，這是此類泄漏的一個(gè)明顯案例 。雖然其中許多憑據(jù)都是舊的，但安全研究人員表示，許多憑據(jù)仍然有效，這可以讓RAMP論壇在黑客領(lǐng)域建立聲望。Flashpoint報(bào)告說(shuō)RAMP已經(jīng)進(jìn)行了第三次迭代，使用新的暗網(wǎng)域并要求所有以前的用戶重新注冊(cè)。

　　最后我們來(lái)綜合分析一下：

　　目前全球勒索環(huán)境在此：

　　叮！頂級(jí)REvil勒索團(tuán)隊(duì)核心人員已被鎖定

　　美國(guó)務(wù)院懸賞1000萬(wàn)美元?jiǎng)χ窪arkSide頭目

　　美國(guó)司法部：對(duì)勒索團(tuán)體繼續(xù)逮捕、扣押贖金

　　“旋風(fēng)行動(dòng)”已抓捕Clop勒索軟件相關(guān)人員

　　REvil勒索關(guān)聯(lián)公司在羅馬尼亞和科威特被捕

　　美國(guó)務(wù)院再懸賞1000萬(wàn)美元?jiǎng)χ窻Evil頭目

　　可以看出來(lái)，目前全球勒索界的黑客們，日子很不好過(guò)，生存環(huán)境日益緊逼，再看此次事件的正主：RAMP黑客論壇相關(guān)人員，打嘴炮放言呼吁全球勒索聯(lián)合“搞砸美國(guó)”，同時(shí)在公告里提及咱國(guó)，事發(fā)后，又稱這只是一次媒體黑客攻擊，單純是逗媒體玩。

　　那如果他們的真正的用意是：用公告吸引眼球，在論壇上實(shí)施造成與中國(guó)黑客結(jié)識(shí)并合作的假象轉(zhuǎn)移安全研究和聯(lián)合執(zhí)法人員的注意力呢，最后不排除后續(xù)勒索事件還來(lái)栽贓咱呢？

　　我國(guó)是網(wǎng)絡(luò)安全的堅(jiān)定維護(hù)者，歷來(lái)堅(jiān)決反對(duì)并依法打擊一切形式的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪。所以請(qǐng)警惕并自律，千萬(wàn)別利欲熏心當(dāng)了工具人，一失足成千古恨。我們?cè)诖硕诓⒅腋鎳?guó)內(nèi)的安全人士不要參與以上任何相關(guān)活動(dòng)。以免最后損壞國(guó)之形象，造成不必要及自己無(wú)法承受的后果。