在上周執法部門迫使REvil勒索團體的再次關閉后，Groove勒索軟件團伙在暗網主頁呼吁所有勒索團體應該放棄競爭團結起來聯合搞砸美國公共部門。

　　上周末，我們報道了在未知的第三方劫持了他們的暗網域后， REvil勒索軟件操作再次關閉。（延伸閱讀：REvil勒索因秘鑰失控再次關閉）

　　作為此次關閉的一部分，一名已知的REvil運營商聲稱未知第三方正在通過修改配置文件“尋找”他們。

　　前天路透社報道稱，REvil的下架是國際執法行動的結果，其中包括FBI的支持。

　　“搞砸美國公共部門”

　　昨天，Groove勒索軟件團伙發表了一篇俄文博客文章，呼吁所有其他勒索軟件活動以美國公共部門為目標。

　　Groove勒索團隊在暗網上發帖呼吁對美國進行攻擊

　　翻譯成英文

　　博文還警告不要針對中國公司發動勒索軟件攻擊，因為如果俄羅斯對在其國內開展的網絡犯罪采取更強硬的立場，這些團伙將需要避風港。

　　部分翻譯后的信息，可以在下面閱讀：

　　“在美國政府試圖對抗我們的困難和困難時期，我呼吁所有合作伙伴停止競爭，團結起來，開始搞砸美國公共部門，向這個老頭子展示誰是互聯網上的老大（……）我敦促不要攻擊中國公司，因為如果我們的祖國突然對我們強硬，我們必須依賴我們的好鄰居——中國，我們該何去何從！balabala…” - Groove 勒索軟件。

　　本周，一家荷蘭銀行的威脅情報研究人員分享的其他信息與對美國利益的攻擊有關。

　　2021年7月，一個名為“Orange”的黑客在關閉并與最初的Babuk勒索操作分離后推出了RAMP黑客論壇。由于Orange仍然控制著Babuk的Tor站點，他用它來啟動黑客論壇，并在其中擔任管理員。Orange也被認為是Groove勒索軟件行動的代表之一。

　　最近，Orange辭去了論壇管理員的職務，以開展新的活動，但沒有提供有關計劃內容的任何進一步信息。

　　辭去管理員職務以開始新的操作

　　然而，稍后的帖子表明，該黑客可能會開始一項新的勒索軟件操作，因為他開始積極尋求購買美國醫院和政府機構的網絡訪問權限，如下面的論壇帖子所示。

　　威脅行為者購買美國醫院和政府機構的訪問權限

　　Groove的帖子可能與上面來自Orange的論壇帖子相關，或表明針對所有美國部門的目標已經計劃了一段時間，而針對REvil執法行動是Groove公告的催化劑。目前尚不清楚“Orange”是否會在Groove合作下對美國組織進行這些攻擊，或者發起新的勒索軟件操作。

　　知名勒索團體開始轉移網絡資產

　　在執法機構最近關閉REvil的基礎設施的消息傳出后，Darkside（或BlackMatter）勒索軟件運營背后的團伙已經轉移了107 BTC（680萬美元）。

　　網絡安全公司Profero的首席執行官兼聯合創始人Omri Segev Moyal今天在推特上表示，DarkSide錢包中的107個比特幣被轉移到了一個新錢包中。自昨天以來，資金一直轉移到多個新錢包中，每筆交易轉移的金額較小，使資金更難以追蹤。

　　區塊鏈分析公司Elliptic展示了DarkSide的加密貨幣如何流經不同的錢包，從 107.8 BTC 減少到 38.1 BTC。

　　以這種方式轉移資金是一種典型的洗錢技術，它會阻礙追蹤并幫助網絡犯罪分子將加密貨幣轉換為法定貨幣。Elliptic表示，這個過程仍在繼續，少量資金已經轉移到了已知的交易所。

　　DarkSide對Colonial Pipeline的攻擊是DarkSide以此名稱進行的最后一次攻擊。在此之前，勒索軟件團伙已從受害者那里收取了至少9000萬美元。然而，他們選擇的最后一個目標很糟糕，因為其業務向美國東海岸的市場和煉油廠供應石油產品，占該地區所有燃料消耗的45%。即使Colonial Pipeline支付了75BTC（當時約為500萬美元）的贖金，這次攻擊的后果太大，美國司法部將其放在首位來進行反攻。6月7日，美國司法部宣布它收回了向DarkSide支付的贖金Colonial Pipeline的63.7比特幣，以盡快恢復他們的系統。 最后DarkSide然后退出了勒索軟件業務，只是作為BlackMatter出現了。7月，重新命名的黑客團體希望購買對美國企業網絡的訪問權限。

　　Recorded Future當時揭露BlackMatter，說它“將DarkSide、REvil和LockBit的最佳功能融入其中”。在新名稱下，勒索軟件攻擊者繼續攻擊大型公司，例如醫療技術巨頭奧林巴斯、美國的新農民合作社組織和營銷服務提供商Marketron。在最近發布的聯合公告中，CISA、FBI和NSA提供了可幫助組織抵御BlackMatter勒索軟件攻擊的緩解信息。

　　一場頂級網絡較量或將開始

　　美國國家安全局局長兼美國網絡司令部負責人保羅·中曾根（Paul Nakasone）在華盛頓舉行的Mandiant網絡防御峰會上的一次討論中當被問及這種威脅是否會持續到未來五年時，他回答說，“每天！”，并承諾他所領導的機構將打擊“涌現”的網絡威脅。

　　拜登上周剛開完30多國聯合勒索聯合大會（延伸閱讀：美召開30國勒索峰會：強建地緣政治新舞臺）。

　　美國打擊勒索到了動用強大的國家情報部門，以及拜登聯合30多國召開勒索聯合大會，或許讓這些勒索軟件組織感覺到了前所未有的巨大威脅。

　　觀察近期動作：

　　“Orange”論壇管理員辭職親自下場重操舊業。

　　REvil被執法部門黑客攻擊，宣布二次關閉。

　　Darkside（或BlackMatter）開始轉移網絡資產。

　　昨日Groove勒索團伙宣布聯合所有勒索團體搞砸美國公共部門。

　　一場暗黑界頂級網絡力量和公共安全的光明使者之間網絡較量已經拉開序幕。

　　現在，這不是我們看熱鬧的時候，在網絡攻擊無孔不入的今天，數字化世界、全球萬物互通互聯之下，網絡空間任何角落的戰火都能燃向全球。

　　任何國家都無法獨善其身，稍有不慎，危機就會波及我們，我們在此呼吁中國網絡安全行業共同努力時刻做好準備，共同防御和應對隨時可能到來的網絡威脅。