警惕：“俄勒索團隊和中國黑客合作”的圈套

昨天西方科技媒體曝光俄語網絡犯罪論壇上正在醞釀一些不尋常的活動，傳俄黑客似乎正在與中國黑客聯系以尋求合作。報道稱這些招募中國黑客的嘗試主要出現在RAMP黑客論壇上，該論壇鼓勵說普通話的黑客參與對話、分享技巧和合作攻擊。

根據Flashpoint的一份新報告，該論壇高級用戶和RAMP論壇管理員現在正在積極嘗試用機器翻譯的中文與新的論壇成員進行交流。報道稱該論壇至少有30名新用戶注冊似乎來自中國，說這可能是值得注意的開始。

研究人員就此認為，最可能的原因是俄勒索軟件團伙尋求與中國行為者建立聯盟，以對美國目標發起網絡攻擊、交易漏洞，甚至為其勒索軟件即服務 (RaaS) 運營招募新人才。

據稱一名威脅分析師本月早些時候透露，該計劃是由RAMP管理員Kajit發起，他聲稱最近在中國呆了一段時間并且會說中文。在RAMP的先前論壇中，他曾暗示他將邀請“中國黑客”參加論壇，現在似乎正在舉行。

然而，試圖與“中國黑客”合作者的俄黑客不僅限于RAMP黑客論壇，Flashpoint聲稱自己在XSS黑客論壇上也看到了類似的合作。“在下面的屏幕截圖中，XSS用戶‘hoffman’向兩名自稱是中國人的論壇成員打招呼，” Flashpoint的新研究解釋說 。“黑客問他們是否可以提供有關勒索軟件和購買各種系統漏洞的信息。語言似乎是機器翻譯的中文。”

根據與RAMP管理員相關的先前歷史，Flashpoint強調這始終有可能只是一個煙幕彈，其實并沒有真正的中國用戶加入RAMP。

上個月，也就是四周前，我們發布了：

一勒索組織呼吁所有勒索組織聯合“搞砸美國”

其中涉及Groove勒索發布的一張圖：

翻譯成英文

博文除了呼吁聯合“搞砸美國”外，還警告不要針對中國公司發動勒索軟件攻擊，因為如果俄羅斯對在其國內開展的網絡犯罪采取更強硬的立場，這些團伙將需要避風港。

部分翻譯后的信息，可以在下面閱讀：

“在美國政府試圖對抗我們的困難和困難時期，我呼吁所有合作伙伴停止競爭，團結起來，開始搞砸美國公共部門，向這個老頭子展示誰是互聯網上的老大（......）我敦促不要攻擊中國公司，因為如果我們的祖國突然對我們強硬，我們必須依賴我們的好鄰居——中國，我們該何去何從！balabala...” - Groove 勒索軟件

在國外主流科技媒體報道了這篇文章后，Groove黑客聲稱該操作從一開始就是假的，并且是為了拖釣和操縱媒體和安全研究人員而創建的（俗稱：媒體黑客攻擊）。

來自McAfee和Intel 471的安全研究人員認為 ，這很可能只是威脅行為者試圖掩蓋其嘗試的勒索軟件即服務未按計劃運行的事實。

與Groove相關的基礎設施是否托管了至少與美國警察局和NBA棒球隊相關的數據，因此受害者是真實的。隨著勒索軟件參與者的壓力越來越大，他們可以使用更復雜的借口，但最終證據仍然存在。- 約翰福克 (@John_Fokker) 2021年11月4日

因此，外媒稱RAMP管理員的先前行動讓人以懷疑的態度對待他們所說的任何事情。

然而，Conti勒索軟件操作最近發布到RAMP論壇，以招募附屬機構并購買網絡的初始訪問權限。在與外媒共享的屏幕截圖中，該團伙表示他們通常只與講俄語的黑客合作，但出于對RAMP管理員的尊重，他們將講中文的威脅行為者作為例外。

“這個廣告是俄文的，因為我們只與俄語人士合作。但是，出于對管理員的尊重，我們將為講中文的用戶破例，甚至將這條消息翻譯成中文（您甚至可以用普通話和粵語！）”- Conti勒索團隊。

也因此，西方媒體就認為RAMP論壇似乎確實在積極邀請講中文的黑客參與對話和攻擊。

轉移注意力 Or 引戰

現在RAMP重新上線，人數似乎正在增長，盡管它在推出后不久就被DDOS攻擊。RAMP是去年夏天由原始Babuk勒索軟件團伙的一名核心成員建立的，旨在作為一個新的地方來泄露從網絡攻擊中竊取的寶貴數據并招募勒索軟件附屬機構。

9月份，RAMP管理員發布了498908個Fortinet VPN憑據以訪問全球各種公司網絡上的12856臺設備，這是此類泄漏的一個明顯案例 。雖然其中許多憑據都是舊的，但安全研究人員表示，許多憑據仍然有效，這可以讓RAMP論壇在黑客領域建立聲望。Flashpoint報告說RAMP已經進行了第三次迭代，使用新的暗網域并要求所有以前的用戶重新注冊。

可以看出來，目前全球勒索界的黑客們，日子很不好過，生存環境日益緊逼，再看此次事件的正主：RAMP黑客論壇相關人員，打嘴炮放言呼吁全球勒索聯合“搞砸美國”，同時在公告里提及咱國，事發后，又稱這只是一次媒體黑客攻擊，單純是逗媒體玩。

那如果他們的真正的用意是：用公告吸引眼球，在論壇上實施造成與中國黑客結識并合作的假象轉移安全研究和聯合執法人員的注意力呢，最后不排除后續勒索事件還來栽贓咱呢？

我國是網絡安全的堅定維護者，歷來堅決反對并依法打擊一切形式的網絡攻擊和網絡犯罪。所以請警惕并自律，千萬別利欲熏心當了工具人，一失足成千古恨。我們在此叮囑并忠告國內的安全人士不要參與以上任何相關活動。以免最后損壞國之形象，造成不必要及自己無法承受的后果。

參考：

https://www.flashpoint-intel.com/blog/ramp-ransomware-chinese-threat-actors