昨天西方科技媒体曝光俄语网络犯罪论坛上正在酝酿一些不寻常的活动,传俄黑客似乎正在与中国黑客联系以寻求合作。报道称这些招募中国黑客的尝试主要出现在RAMP黑客论坛上,该论坛鼓励说普通话的黑客参与对话、分享技巧和合作攻击。
根据Flashpoint的一份新报告,该论坛高级用户和RAMP论坛管理员现在正在积极尝试用机器翻译的中文与新的论坛成员进行交流。报道称该论坛至少有30名新用户注册似乎来自中国,说这可能是值得注意的开始。
研究人员就此认为,最可能的原因是俄勒索软件团伙寻求与中国行为者建立联盟,以对美国目标发起网络攻击、交易漏洞,甚至为其勒索软件即服务 (RaaS) 运营招募新人才。
你们看懂了没!
据称一名威胁分析师本月早些时候透露,该计划是由RAMP管理员Kajit发起,他声称最近在中国呆了一段时间并且会说中文。在RAMP的先前论坛中,他曾暗示他将邀请“中国黑客”参加论坛,现在似乎正在举行。
然而,试图与“中国黑客”合作者的俄黑客不仅限于RAMP黑客论坛,Flashpoint声称自己在XSS黑客论坛上也看到了类似的合作。“在下面的屏幕截图中,XSS用户‘hoffman’向两名自称是中国人的论坛成员打招呼,” Flashpoint的新研究解释说 。“黑客问他们是否可以提供有关勒索软件和购买各种系统漏洞的信息。语言似乎是机器翻译的中文。”
根据与RAMP管理员相关的先前历史,Flashpoint强调这始终有可能只是一个烟幕弹,其实并没有真正的中国用户加入RAMP。
上个月,也就是四周前,我们发布了:
一勒索组织呼吁所有勒索组织联合“搞砸美国”
其中涉及Groove勒索发布的一张图:
翻译成英文
博文除了呼吁联合“搞砸美国”外,还警告不要针对中国公司发动勒索软件攻击,因为如果俄罗斯对在其国内开展的网络犯罪采取更强硬的立场,这些团伙将需要避风港。
部分翻译后的信息,可以在下面阅读:
“在美国政府试图对抗我们的困难和困难时期,我呼吁所有合作伙伴停止竞争,团结起来,开始搞砸美国公共部门,向这个老头子展示谁是互联网上的老大(……)我敦促不要攻击中国公司,因为如果我们的祖国突然对我们强硬,我们必须依赖我们的好邻居——中国,我们该何去何从!balabala…” - Groove 勒索软件
在国外主流科技媒体报道了这篇文章后,Groove黑客声称该操作从一开始就是假的,并且是为了拖钓和操纵媒体和安全研究人员而创建的(俗称:媒体黑客攻击)。(延伸阅读:振臂高呼只为玩弄全球安全公司和媒体?)
来自McAfee和Intel 471的安全研究人员认为 ,这很可能只是威胁行为者试图掩盖其尝试的勒索软件即服务未按计划运行的事实。
与Groove相关的基础设施是否托管了至少与美国警察局和NBA棒球队相关的数据,因此受害者是真实的。随着勒索软件参与者的压力越来越大,他们可以使用更复杂的借口,但最终证据仍然存在。
- 约翰福克 (@John_Fokker) 2021年11月4日
因此,外媒称RAMP管理员的先前行动让人以怀疑的态度对待他们所说的任何事情。
然而,Conti勒索软件操作最近发布到RAMP论坛,以招募附属机构并购买网络的初始访问权限。在与外媒共享的屏幕截图中,该团伙表示他们通常只与讲俄语的黑客合作,但出于对RAMP管理员的尊重,他们将讲中文的威胁行为者作为例外。
“这个广告是俄文的,因为我们只与俄语人士合作。但是,出于对管理员的尊重,我们将为讲中文的用户破例,甚至将这条消息翻译成中文(您甚至可以用普通话和粤语!)”- Conti勒索团队。
也因此,西方媒体就认为RAMP论坛似乎确实在积极邀请讲中文的黑客参与对话和攻击。
转移注意力 Or 引战
现在RAMP重新上线,人数似乎正在增长,尽管它在推出后不久就被DDOS攻击。RAMP是去年夏天由原始Babuk勒索软件团伙的一名核心成员建立的,旨在作为一个新的地方来泄露从网络攻击中窃取的宝贵数据并招募勒索软件附属机构。
9月份,RAMP管理员发布了498908个Fortinet VPN凭据以访问全球各种公司网络上的12856台设备,这是此类泄漏的一个明显案例 。虽然其中许多凭据都是旧的,但安全研究人员表示,许多凭据仍然有效,这可以让RAMP论坛在黑客领域建立声望。Flashpoint报告说RAMP已经进行了第三次迭代,使用新的暗网域并要求所有以前的用户重新注册。
最后我们来综合分析一下:
目前全球勒索环境在此:
叮!顶级REvil勒索团队核心人员已被锁定
美国务院悬赏1000万美元剑指DarkSide头目
美国司法部:对勒索团体继续逮捕、扣押赎金
“旋风行动”已抓捕Clop勒索软件相关人员
REvil勒索关联公司在罗马尼亚和科威特被捕
美国务院再悬赏1000万美元剑指REvil头目