在上周執(zhí)法部門迫使REvil勒索團體的再次關(guān)閉后，Groove勒索軟件團伙在暗網(wǎng)主頁呼吁所有勒索團體應(yīng)該放棄競爭團結(jié)起來聯(lián)合搞砸美國公共部門。

　　上周末，我們報道了在未知的第三方劫持了他們的暗網(wǎng)域后， REvil勒索軟件操作再次關(guān)閉。（延伸閱讀：REvil勒索因秘鑰失控再次關(guān)閉）

　　作為此次關(guān)閉的一部分，一名已知的REvil運營商聲稱未知第三方正在通過修改配置文件“尋找”他們。

　　前天路透社報道稱，REvil的下架是國際執(zhí)法行動的結(jié)果，其中包括FBI的支持。

　　“搞砸美國公共部門”

　　昨天，Groove勒索軟件團伙發(fā)表了一篇俄文博客文章，呼吁所有其他勒索軟件活動以美國公共部門為目標。

　　Groove勒索團隊在暗網(wǎng)上發(fā)帖呼吁對美國進行攻擊

　　翻譯成英文

　　博文還警告不要針對中國公司發(fā)動勒索軟件攻擊，因為如果俄羅斯對在其國內(nèi)開展的網(wǎng)絡(luò)犯罪采取更強硬的立場，這些團伙將需要避風(fēng)港。

　　部分翻譯后的信息，可以在下面閱讀：

　　“在美國政府試圖對抗我們的困難和困難時期，我呼吁所有合作伙伴停止競爭，團結(jié)起來，開始搞砸美國公共部門，向這個老頭子展示誰是互聯(lián)網(wǎng)上的老大（……）我敦促不要攻擊中國公司，因為如果我們的祖國突然對我們強硬，我們必須依賴我們的好鄰居——中國，我們該何去何從！balabala…” - Groove 勒索軟件。

　　本周，一家荷蘭銀行的威脅情報研究人員分享的其他信息與對美國利益的攻擊有關(guān)。

　　2021年7月，一個名為“Orange”的黑客在關(guān)閉并與最初的Babuk勒索操作分離后推出了RAMP黑客論壇。由于Orange仍然控制著Babuk的Tor站點，他用它來啟動黑客論壇，并在其中擔(dān)任管理員。Orange也被認為是Groove勒索軟件行動的代表之一。

　　最近，Orange辭去了論壇管理員的職務(wù)，以開展新的活動，但沒有提供有關(guān)計劃內(nèi)容的任何進一步信息。

　　辭去管理員職務(wù)以開始新的操作

　　然而，稍后的帖子表明，該黑客可能會開始一項新的勒索軟件操作，因為他開始積極尋求購買美國醫(yī)院和政府機構(gòu)的網(wǎng)絡(luò)訪問權(quán)限，如下面的論壇帖子所示。

　　威脅行為者購買美國醫(yī)院和政府機構(gòu)的訪問權(quán)限

　　Groove的帖子可能與上面來自O(shè)range的論壇帖子相關(guān)，或表明針對所有美國部門的目標已經(jīng)計劃了一段時間，而針對REvil執(zhí)法行動是Groove公告的催化劑。目前尚不清楚“Orange”是否會在Groove合作下對美國組織進行這些攻擊，或者發(fā)起新的勒索軟件操作。

　　知名勒索團體開始轉(zhuǎn)移網(wǎng)絡(luò)資產(chǎn)

　　在執(zhí)法機構(gòu)最近關(guān)閉REvil的基礎(chǔ)設(shè)施的消息傳出后，Darkside（或BlackMatter）勒索軟件運營背后的團伙已經(jīng)轉(zhuǎn)移了107 BTC（680萬美元）。

　　網(wǎng)絡(luò)安全公司Profero的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Omri Segev Moyal今天在推特上表示，DarkSide錢包中的107個比特幣被轉(zhuǎn)移到了一個新錢包中。自昨天以來，資金一直轉(zhuǎn)移到多個新錢包中，每筆交易轉(zhuǎn)移的金額較小，使資金更難以追蹤。

　　區(qū)塊鏈分析公司Elliptic展示了DarkSide的加密貨幣如何流經(jīng)不同的錢包，從 107.8 BTC 減少到 38.1 BTC。

　　以這種方式轉(zhuǎn)移資金是一種典型的洗錢技術(shù)，它會阻礙追蹤并幫助網(wǎng)絡(luò)犯罪分子將加密貨幣轉(zhuǎn)換為法定貨幣。Elliptic表示，這個過程仍在繼續(xù)，少量資金已經(jīng)轉(zhuǎn)移到了已知的交易所。

　　DarkSide對Colonial Pipeline的攻擊是DarkSide以此名稱進行的最后一次攻擊。在此之前，勒索軟件團伙已從受害者那里收取了至少9000萬美元。然而，他們選擇的最后一個目標很糟糕，因為其業(yè)務(wù)向美國東海岸的市場和煉油廠供應(yīng)石油產(chǎn)品，占該地區(qū)所有燃料消耗的45%。即使Colonial Pipeline支付了75BTC（當(dāng)時約為500萬美元）的贖金，這次攻擊的后果太大，美國司法部將其放在首位來進行反攻。6月7日，美國司法部宣布它收回了向DarkSide支付的贖金Colonial Pipeline的63.7比特幣，以盡快恢復(fù)他們的系統(tǒng)。 最后DarkSide然后退出了勒索軟件業(yè)務(wù)，只是作為BlackMatter出現(xiàn)了。7月，重新命名的黑客團體希望購買對美國企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。

　　Recorded Future當(dāng)時揭露BlackMatter，說它“將DarkSide、REvil和LockBit的最佳功能融入其中”。在新名稱下，勒索軟件攻擊者繼續(xù)攻擊大型公司，例如醫(yī)療技術(shù)巨頭奧林巴斯、美國的新農(nóng)民合作社組織和營銷服務(wù)提供商Marketron。在最近發(fā)布的聯(lián)合公告中，CISA、FBI和NSA提供了可幫助組織抵御BlackMatter勒索軟件攻擊的緩解信息。

　　一場頂級網(wǎng)絡(luò)較量或?qū)㈤_始

　　美國國家安全局局長兼美國網(wǎng)絡(luò)司令部負責(zé)人保羅·中曾根（Paul Nakasone）在華盛頓舉行的Mandiant網(wǎng)絡(luò)防御峰會上的一次討論中當(dāng)被問及這種威脅是否會持續(xù)到未來五年時，他回答說，“每天！”，并承諾他所領(lǐng)導(dǎo)的機構(gòu)將打擊“涌現(xiàn)”的網(wǎng)絡(luò)威脅。

　　拜登上周剛開完30多國聯(lián)合勒索聯(lián)合大會（延伸閱讀：美召開30國勒索峰會：強建地緣政治新舞臺）。

　　美國打擊勒索到了動用強大的國家情報部門，以及拜登聯(lián)合30多國召開勒索聯(lián)合大會，或許讓這些勒索軟件組織感覺到了前所未有的巨大威脅。

　　觀察近期動作：

　　“Orange”論壇管理員辭職親自下場重操舊業(yè)。

　　REvil被執(zhí)法部門黑客攻擊，宣布二次關(guān)閉。

　　Darkside（或BlackMatter）開始轉(zhuǎn)移網(wǎng)絡(luò)資產(chǎn)。

　　昨日Groove勒索團伙宣布聯(lián)合所有勒索團體搞砸美國公共部門。

　　一場暗黑界頂級網(wǎng)絡(luò)力量和公共安全的光明使者之間網(wǎng)絡(luò)較量已經(jīng)拉開序幕。

　　現(xiàn)在，這不是我們看熱鬧的時候，在網(wǎng)絡(luò)攻擊無孔不入的今天，數(shù)字化世界、全球萬物互通互聯(lián)之下，網(wǎng)絡(luò)空間任何角落的戰(zhàn)火都能燃向全球。

　　任何國家都無法獨善其身，稍有不慎，危機就會波及我們，我們在此呼吁中國網(wǎng)絡(luò)安全行業(yè)共同努力時刻做好準備，共同防御和應(yīng)對隨時可能到來的網(wǎng)絡(luò)威脅。