昨天西方科技媒體曝光俄語網(wǎng)絡犯罪論壇上正在醞釀一些不尋常的活動，傳俄黑客似乎正在與中國黑客聯(lián)系以尋求合作。報道稱這些招募中國黑客的嘗試主要出現(xiàn)在RAMP黑客論壇上，該論壇鼓勵說普通話的黑客參與對話、分享技巧和合作攻擊。

　　根據(jù)Flashpoint的一份新報告，該論壇高級用戶和RAMP論壇管理員現(xiàn)在正在積極嘗試用機器翻譯的中文與新的論壇成員進行交流。報道稱該論壇至少有30名新用戶注冊似乎來自中國，說這可能是值得注意的開始。

　　研究人員就此認為，最可能的原因是俄勒索軟件團伙尋求與中國行為者建立聯(lián)盟，以對美國目標發(fā)起網(wǎng)絡攻擊、交易漏洞，甚至為其勒索軟件即服務 （RaaS） 運營招募新人才。

　　你們看懂了沒！

　　據(jù)稱一名威脅分析師本月早些時候透露，該計劃是由RAMP管理員Kajit發(fā)起，他聲稱最近在中國呆了一段時間并且會說中文。在RAMP的先前論壇中，他曾暗示他將邀請“中國黑客”參加論壇，現(xiàn)在似乎正在舉行。

　　然而，試圖與“中國黑客”合作者的俄黑客不僅限于RAMP黑客論壇，F(xiàn)lashpoint聲稱自己在XSS黑客論壇上也看到了類似的合作?！霸谙旅娴钠聊唤貓D中，XSS用戶‘hoffman’向兩名自稱是中國人的論壇成員打招呼，”  Flashpoint的新研究解釋說 ?！昂诳蛦査麄兪欠窨梢蕴峁┯嘘P勒索軟件和購買各種系統(tǒng)漏洞的信息。語言似乎是機器翻譯的中文?！?/p>

　　根據(jù)與RAMP管理員相關的先前歷史，F(xiàn)lashpoint強調(diào)這始終有可能只是一個煙幕彈，其實并沒有真正的中國用戶加入RAMP。

　　上個月，也就是四周前，我們發(fā)布了：

　　一勒索組織呼吁所有勒索組織聯(lián)合“搞砸美國”

　　其中涉及Groove勒索發(fā)布的一張圖：

　　翻譯成英文

　　博文除了呼吁聯(lián)合“搞砸美國”外，還警告不要針對中國公司發(fā)動勒索軟件攻擊，因為如果俄羅斯對在其國內(nèi)開展的網(wǎng)絡犯罪采取更強硬的立場，這些團伙將需要避風港。

　　部分翻譯后的信息，可以在下面閱讀：

　　“在美國政府試圖對抗我們的困難和困難時期，我呼吁所有合作伙伴停止競爭，團結起來，開始搞砸美國公共部門，向這個老頭子展示誰是互聯(lián)網(wǎng)上的老大（……）我敦促不要攻擊中國公司，因為如果我們的祖國突然對我們強硬，我們必須依賴我們的好鄰居——中國，我們該何去何從！balabala…” - Groove 勒索軟件

　　在國外主流科技媒體報道了這篇文章后，Groove黑客聲稱該操作從一開始就是假的，并且是為了拖釣和操縱媒體和安全研究人員而創(chuàng)建的（俗稱：媒體黑客攻擊）。（延伸閱讀：振臂高呼只為玩弄全球安全公司和媒體？）

　　來自McAfee和Intel 471的安全研究人員認為 ，這很可能只是威脅行為者試圖掩蓋其嘗試的勒索軟件即服務未按計劃運行的事實。

　　與Groove相關的基礎設施是否托管了至少與美國警察局和NBA棒球隊相關的數(shù)據(jù)，因此受害者是真實的。隨著勒索軟件參與者的壓力越來越大，他們可以使用更復雜的借口，但最終證據(jù)仍然存在。

　　- 約翰?？?（@John_Fokker） 2021年11月4日

　　因此，外媒稱RAMP管理員的先前行動讓人以懷疑的態(tài)度對待他們所說的任何事情。

　　然而，Conti勒索軟件操作最近發(fā)布到RAMP論壇，以招募附屬機構并購買網(wǎng)絡的初始訪問權限。在與外媒共享的屏幕截圖中，該團伙表示他們通常只與講俄語的黑客合作，但出于對RAMP管理員的尊重，他們將講中文的威脅行為者作為例外。

　　“這個廣告是俄文的，因為我們只與俄語人士合作。但是，出于對管理員的尊重，我們將為講中文的用戶破例，甚至將這條消息翻譯成中文（您甚至可以用普通話和粵語?。? Conti勒索團隊。

　　也因此，西方媒體就認為RAMP論壇似乎確實在積極邀請講中文的黑客參與對話和攻擊。

　　轉(zhuǎn)移注意力 Or 引戰(zhàn)

　　現(xiàn)在RAMP重新上線，人數(shù)似乎正在增長，盡管它在推出后不久就被DDOS攻擊。RAMP是去年夏天由原始Babuk勒索軟件團伙的一名核心成員建立的，旨在作為一個新的地方來泄露從網(wǎng)絡攻擊中竊取的寶貴數(shù)據(jù)并招募勒索軟件附屬機構。

　　9月份，RAMP管理員發(fā)布了498908個Fortinet VPN憑據(jù)以訪問全球各種公司網(wǎng)絡上的12856臺設備，這是此類泄漏的一個明顯案例 。雖然其中許多憑據(jù)都是舊的，但安全研究人員表示，許多憑據(jù)仍然有效，這可以讓RAMP論壇在黑客領域建立聲望。Flashpoint報告說RAMP已經(jīng)進行了第三次迭代，使用新的暗網(wǎng)域并要求所有以前的用戶重新注冊。

　　最后我們來綜合分析一下：

　　目前全球勒索環(huán)境在此：

　　叮！頂級REvil勒索團隊核心人員已被鎖定

　　美國務院懸賞1000萬美元劍指DarkSide頭目

　　美國司法部：對勒索團體繼續(xù)逮捕、扣押贖金

　　“旋風行動”已抓捕Clop勒索軟件相關人員

　　REvil勒索關聯(lián)公司在羅馬尼亞和科威特被捕

　　美國務院再懸賞1000萬美元劍指REvil頭目

　　可以看出來，目前全球勒索界的黑客們，日子很不好過，生存環(huán)境日益緊逼，再看此次事件的正主：RAMP黑客論壇相關人員，打嘴炮放言呼吁全球勒索聯(lián)合“搞砸美國”，同時在公告里提及咱國，事發(fā)后，又稱這只是一次媒體黑客攻擊，單純是逗媒體玩。

　　那如果他們的真正的用意是：用公告吸引眼球，在論壇上實施造成與中國黑客結識并合作的假象轉(zhuǎn)移安全研究和聯(lián)合執(zhí)法人員的注意力呢，最后不排除后續(xù)勒索事件還來栽贓咱呢？

　　我國是網(wǎng)絡安全的堅定維護者，歷來堅決反對并依法打擊一切形式的網(wǎng)絡攻擊和網(wǎng)絡犯罪。所以請警惕并自律，千萬別利欲熏心當了工具人，一失足成千古恨。我們在此叮囑并忠告國內(nèi)的安全人士不要參與以上任何相關活動。以免最后損壞國之形象，造成不必要及自己無法承受的后果。