在上周执法部门迫使REvil勒索团体的再次关闭后，Groove勒索软件团伙在暗网主页呼吁所有勒索团体应该放弃竞争团结起来联合搞砸美国公共部门。

　　上周末，我们报道了在未知的第三方劫持了他们的暗网域后， REvil勒索软件操作再次关闭。（延伸阅读：REvil勒索因秘钥失控再次关闭）

　　作为此次关闭的一部分，一名已知的REvil运营商声称未知第三方正在通过修改配置文件“寻找”他们。

　　前天路透社报道称，REvil的下架是国际执法行动的结果，其中包括FBI的支持。

　　“搞砸美国公共部门”

　　昨天，Groove勒索软件团伙发表了一篇俄文博客文章，呼吁所有其他勒索软件活动以美国公共部门为目标。

　　Groove勒索团队在暗网上发帖呼吁对美国进行攻击

　　翻译成英文

　　博文还警告不要针对中国公司发动勒索软件攻击，因为如果俄罗斯对在其国内开展的网络犯罪采取更强硬的立场，这些团伙将需要避风港。

　　部分翻译后的信息，可以在下面阅读：

　　“在美国政府试图对抗我们的困难和困难时期，我呼吁所有合作伙伴停止竞争，团结起来，开始搞砸美国公共部门，向这个老头子展示谁是互联网上的老大（……）我敦促不要攻击中国公司，因为如果我们的祖国突然对我们强硬，我们必须依赖我们的好邻居——中国，我们该何去何从！balabala…” - Groove 勒索软件。

　　本周，一家荷兰银行的威胁情报研究人员分享的其他信息与对美国利益的攻击有关。

　　2021年7月，一个名为“Orange”的黑客在关闭并与最初的Babuk勒索操作分离后推出了RAMP黑客论坛。由于Orange仍然控制着Babuk的Tor站点，他用它来启动黑客论坛，并在其中担任管理员。Orange也被认为是Groove勒索软件行动的代表之一。

　　最近，Orange辞去了论坛管理员的职务，以开展新的活动，但没有提供有关计划内容的任何进一步信息。

　　辞去管理员职务以开始新的操作

　　然而，稍后的帖子表明，该黑客可能会开始一项新的勒索软件操作，因为他开始积极寻求购买美国医院和政府机构的网络访问权限，如下面的论坛帖子所示。

　　威胁行为者购买美国医院和政府机构的访问权限

　　Groove的帖子可能与上面来自Orange的论坛帖子相关，或表明针对所有美国部门的目标已经计划了一段时间，而针对REvil执法行动是Groove公告的催化剂。目前尚不清楚“Orange”是否会在Groove合作下对美国组织进行这些攻击，或者发起新的勒索软件操作。

　　知名勒索团体开始转移网络资产

　　在执法机构最近关闭REvil的基础设施的消息传出后，Darkside（或BlackMatter）勒索软件运营背后的团伙已经转移了107 BTC（680万美元）。

　　网络安全公司Profero的首席执行官兼联合创始人Omri Segev Moyal今天在推特上表示，DarkSide钱包中的107个比特币被转移到了一个新钱包中。自昨天以来，资金一直转移到多个新钱包中，每笔交易转移的金额较小，使资金更难以追踪。

　　区块链分析公司Elliptic展示了DarkSide的加密货币如何流经不同的钱包，从 107.8 BTC 减少到 38.1 BTC。

　　以这种方式转移资金是一种典型的洗钱技术，它会阻碍追踪并帮助网络犯罪分子将加密货币转换为法定货币。Elliptic表示，这个过程仍在继续，少量资金已经转移到了已知的交易所。

　　DarkSide对Colonial Pipeline的攻击是DarkSide以此名称进行的最后一次攻击。在此之前，勒索软件团伙已从受害者那里收取了至少9000万美元。然而，他们选择的最后一个目标很糟糕，因为其业务向美国东海岸的市场和炼油厂供应石油产品，占该地区所有燃料消耗的45%。即使Colonial Pipeline支付了75BTC（当时约为500万美元）的赎金，这次攻击的后果太大，美国司法部将其放在首位来进行反攻。6月7日，美国司法部宣布它收回了向DarkSide支付的赎金Colonial Pipeline的63.7比特币，以尽快恢复他们的系统。 最后DarkSide然后退出了勒索软件业务，只是作为BlackMatter出现了。7月，重新命名的黑客团体希望购买对美国企业网络的访问权限。

　　Recorded Future当时揭露BlackMatter，说它“将DarkSide、REvil和LockBit的最佳功能融入其中”。在新名称下，勒索软件攻击者继续攻击大型公司，例如医疗技术巨头奥林巴斯、美国的新农民合作社组织和营销服务提供商Marketron。在最近发布的联合公告中，CISA、FBI和NSA提供了可帮助组织抵御BlackMatter勒索软件攻击的缓解信息。

　　一场顶级网络较量或将开始

　　美国国家安全局局长兼美国网络司令部负责人保罗·中曾根（Paul Nakasone）在华盛顿举行的Mandiant网络防御峰会上的一次讨论中当被问及这种威胁是否会持续到未来五年时，他回答说，“每天！”，并承诺他所领导的机构将打击“涌现”的网络威胁。

　　拜登上周刚开完30多国联合勒索联合大会（延伸阅读：美召开30国勒索峰会：强建地缘政治新舞台）。

　　美国打击勒索到了动用强大的国家情报部门，以及拜登联合30多国召开勒索联合大会，或许让这些勒索软件组织感觉到了前所未有的巨大威胁。

　　观察近期动作：

　　“Orange”论坛管理员辞职亲自下场重操旧业。

　　REvil被执法部门黑客攻击，宣布二次关闭。

　　Darkside（或BlackMatter）开始转移网络资产。

　　昨日Groove勒索团伙宣布联合所有勒索团体搞砸美国公共部门。

　　一场暗黑界顶级网络力量和公共安全的光明使者之间网络较量已经拉开序幕。

　　现在，这不是我们看热闹的时候，在网络攻击无孔不入的今天，数字化世界、全球万物互通互联之下，网络空间任何角落的战火都能燃向全球。

　　任何国家都无法独善其身，稍有不慎，危机就会波及我们，我们在此呼吁中国网络安全行业共同努力时刻做好准备，共同防御和应对随时可能到来的网络威胁。