事件背景

提前预警!俄罗斯勒索团伙Groove组织立了个Flag，组织所有熊熊国勒索团伙集中火力打倒鹰鹰怪!

以牙还牙的鹰鹰

10月17日，REvil勒索团伙服务器遭第三方入侵，宣布再次关闭运营。10月21日，路透社报道称，REvil的下架是国际执法行动的结果，包括FBI在内的多个国家的执法和情报机构联合破坏了REvil的泄露站点和Tor支付站点。

安全公司称，REvil运营商以为自己已经从备份中恢复了运营，实际上，备份的内部系统一直受美国政府的控制。

有趣的是，提前备份一直被视为免受勒索软件攻击的最佳方式。因为企业如果可以从备份中恢复系统，就不必向勒索组织付费来获取解密密钥。勒索软件攻击者也清楚备份的重要性，所以通常通过破坏受害者的备份，让受害者无计可施乖乖交钱。而这一次，美国政府和合作伙伴以其人之道还治其人之身，破坏了REvil的备份，让REvil这个猎人感受到了被捕食的滋味。这一次的打击伤害性很大，侮辱性也强。不仅让REvil再次关闭运营，还激怒了其他勒索组织。

熊熊急了

路透社的报道一公开，许多勒索团伙立即在暗网上开喷。以攻击美国医院打响知名度的Conti组织称：“美国针对REvil服务器的攻击行为提醒了我们一件众所周知的事：美国在世界事务中不断展开单边、域外和强盗行为。美国的50个州有任何一条法律可以认定这次对REvil服务器的攻击是合法的吗?勒索软件才是真正的受害者!猜猜有史以来最大的勒索软件组织是谁?就是你们老美的联邦政府!”

网络安全公司Emisoft的分析师称：“这些勒索团伙慌了!这些空洞的姿态不过是虚张声势罢了”。然而，不管这些极具破坏性的勒索团伙是不是真的紧张，对美国执法部门共同的累计已久的抱怨，让这些“熊熊”准备抱团，一致对外。在一众愤怒的勒索团伙中，Groove组织首当其冲，在22号发表了一篇俄语博客文章，呼吁所有其他勒索软件，停止彼此的竞争，内部也不要再搞分裂，大家把格局打开，团结起来，一起集中火力以美国为目标，向这个糟老头子展示展示谁才是互联网的老大!

Groove勒索软件发帖呼吁集中攻击美国

Groove是谁?

这个“大格局”的Groove组织实际上是一个新型勒索软件组织，成立时间不到半年，但众所周知，Groove勒索团伙和大名鼎鼎的Babuk组织渊源不浅。Groove组织的核心成员“Orange”是Babuk组织的前管理员，也是以地下勒索软件为中心的数字平台RAMP的创建者。但Orange和Babuk组织的分手并不愉快，这背后还涉及一段勒索圈反目成仇的丑闻。

Babuk的分裂丑闻

Babuk勒索软件于2020年12月首次被发现，曾多次攻击国外著名的企业，如NBA休斯顿火箭队、美国主要军事承包商PDI集团以及日本制造商Yamabiko公司等，影响最大的攻击事件是4月27日针对美国华盛顿特区大都会警察局(MPD)的攻击。在这次攻击中，Babuk放出狠话，威胁称如果警方不交赎金就向当地黑帮泄露警方线人信息，并声称会继续攻击美国的FBI及CSA部门。

对警察局的攻击Babuk组织名声大噪，但这次攻击却成为Babuk组织运营的转折点，组织内部因为意见不和开始搞分裂。据悉，组织的管理员“Orange”想通过泄露MPD的数据进行宣传，而其他帮派成员则表示反对：“虽然我们不是什么好人，但泄露警察局数据这种事也太过分了。”因此，Babuk组织与最初的管理员分道扬镳。管理员Orange建立了Ramp网络犯罪论坛，其余的人则启动了Babuk V2，继续进行勒索软件攻击。

而这次分手却不是和平分手，在Orange启动Ramp网络犯罪论坛后不久，该论坛就遭受了一系列 DDoS 攻击，因此无法使用。Orange将这些攻击归咎于他的前合作伙伴们：“这刚建立的小网站和别人无冤无仇，除了你们有谁会对我下手?”而 Babuk V2 团队表示，他们没有责任：“分开之后我过得很好，已经完全忘记你了，对你的论坛也不感兴趣，这件事情与我无关。”一个点名批评，一个否认三连，而后也出现了更多和Babuk勒索软件相关的迷惑行为：

• 6月底，Babuk勒索软件构建器在网上泄露;
• 9月3日，Babuk小组的一名成员在一个俄语黑客论坛上声称自己患有晚期癌症，并发布了Babuk勒索软件的完整源代码;
• 9月7日，前Babuk勒索团伙的管理员Orange在黑客论坛上免费泄露了50万条Fortinet网络安全公司的VPN设备登录凭证清单。

你泄露源代码，我泄露VPN凭证，曾经的伙伴反目成仇，一直在上演暗中较劲的大戏。

早有预谋

虽然曾有过内部矛盾的丑闻，但是Groove组织这一次可是立场坚定，不搞内讧，一致对外，坚决打倒美利坚。调查表明，这波声势浩大的宣告并不是没有准备。一家荷兰银行的研究人员发现，Orange在10月18日发帖称将辞去Ramp论坛管理员的身份，专心开展一项新的活动。次日，他开始积极发帖，求购美国医院和政府机构的网络访问权限。

如果Orange论坛发布的求购帖子与Groove组织的公告相关，这表明该组织针对美国的攻击已经计划了一段时间，而此次美国政府对REvil组织的执法活动，正好点燃了俄罗斯勒索团伙的怒火，成为攻击行动的催化剂。

鹰鹰的小团体行为

好巧不巧，本月中旬，白宫国家安全委员会召集了来自30个国家的官员，计划共同打击网络犯罪和勒索软件，与会者来自全球各地，却没有邀请俄罗斯。拜登政府还表示，此次会议聚集了在打击勒索软件方面志同道合的国家，是白宫与盟友合作的最佳展示。尽管白宫国家安全顾问表示，美国正在与俄罗斯通过别的途径进行谈判，但这样一个“国际性”反勒索软件会议，却不邀请俄罗斯，其中用意也是耐人寻味。

兔兔是否安全?

在Groove组织发布的公告中，也出现了关于兔兔的彩蛋。Groove警告称，勒索软件攻击不许欺负兔兔，如果一味进行攻击，四处树敌，迟早有走投无路的一天。如果俄罗斯政府突然对在国内开展的网络犯罪采取更强硬的态度，这些团伙只能将他们的老伙计兔子国作为避风港。虽然有这样的“保护”，但这并不意味着我国处于可以观战的安全立场。没有永远的朋友，也没有永远的敌人，且不说这些勒索团伙是否会出尔反尔，或是声东击西，更可怕的是，一个国家的勒索团伙或其他黑产组织集中合作，攻击其他特定国家的行为，一旦形成趋势，任何国家或地区都有可能被殃及，面临严重的威胁，网络空间的地缘政治也会变得更加复杂。

总结

随着地下市场的飞速发展，勒索团伙不断壮大，动机也越来越复杂，有些勒索团伙的目的已经不再是单纯的经济获益，而是逐渐转化为破坏活动甚至是间谍活动。而Groove组织此次的宣告更是直接了当，毫不掩饰自己的对抗心理。Groove组织的宣告到底是虚张声势还是有备而来，请持续关注这场声势浩大的“熊鹰之战”。

鸿蒙官方战略合作共建――HarmonyOS技术社区