俄语网络犯罪论坛上正在酝酿一些不寻常的活动,黑客似乎正在与中国同行联系以寻求合作。
这些招募中国黑客的尝试主要出现在RAMP黑客论坛上,该论坛鼓励说普通话的行为者参与对话、分享技巧和合作攻击。
根据Flashpoint的一份新报告,高级用户和RAMP管理员现在正在积极尝试用机器翻译的中文与新的论坛成员进行交流。
据报道,该论坛至少有30名新的注册用户似乎来自中国,因此这可能是值得注意的开始。
研究人员认为,最可能的原因是俄罗斯勒索软件团伙寻求与中国行为者建立联盟,以对美国目标发起网络攻击、交易漏洞,甚至为其勒索软件即服务(RaaS)业务招募新的人才。
一名威胁分析师本月早些时候告诉BleepingComputer,该计划是由RAMP管理员Kajit发起的,他声称最近在中国呆了一段时间并且会说中文。
在RAMP的前一个版本中,他曾暗示将邀请中国的黑客加入论坛,现在看来,这正在发生。
然而,试图与中国黑客合作的俄罗斯黑客论坛不仅限于RAMP黑客论坛,因为Flashpoint在XSS黑客论坛上也看到了类似的合作。
“在下面的屏幕截图中,XSS用户‘hoffman’向两名自称是中国人的论坛成员打招呼,”Flashpoint的新研究解释说。
“黑客问他们是否可以提供有关勒索软件和购买各种系统漏洞的信息,语言似乎是机器翻译的中文。”
根据与RAMP管理员相关的先前历史,Flashpoint强调这始终有可能只是一个烟幕弹,没有真正的中国用户加入RAMP。
上个月,运行“Groove”网站、名为“Orange”或“boriselcin”的RAMP管理员发布了一篇帖子,呼吁黑客攻击美国。
在包括BleepingComputer在内的媒体报道了这篇文章后,Groove管理员声称,这个行动从一开始就是假的,是为了欺骗和操纵媒体和安全研究人员。
来自McAfee和Intel471的安全研究人员认为,这很可能只是黑客试图掩盖其尝试的勒索软件即服务未按计划运行的事实。
由于这个原因,RAMP管理员之前的行为要求我们以某种怀疑的态度对待他们所说的任何事情。
然而,Conti勒索软件操作最近发布到RAMP论坛,招募联盟成员并购买网络的初始访问权。在与BleepingComputer分享的一张截图中,该团伙说他们通常只与讲俄语的黑客合作,但出于对RAMP管理员的尊重,将对讲中文的黑客破例。
“这个广告是俄文的,因为我们只与俄语人士合作。但是,出于对管理员的尊重,我们将为讲中文的用户破例,甚至将这条消息翻译成中文(您甚至可以用普通话和粤语!)”
因此,RAMP论坛似乎确实在积极邀请讲中文的黑客参与对话和攻击。
现在RAMP重新上线,它似乎正在稳步增长,尽管它在推出后不久就遭受了DDOS攻击。
RAMP是去年夏天由最初的Babuk勒索软件团伙的一个核心成员建立的,目的是作为一个新的地方来泄露从网络攻击中窃取的宝贵数据,并招募勒索软件的附属机构。
一个值得注意的案例是在9月,一名RAMP管理员发布了498,908个Fortinet VPN凭证,以访问不同企业网络的12,856台设备。
虽然这些凭证中有许多是旧的,但安全研究人员表示,许多凭证仍然有效,并允许RAMP论坛在该领域建立声誉。
Flashpoint报道说,RAMP已经达到了第三次迭代,使用了一个新的.onion域名,并要求所有前用户重新注册。