Groove勒索軟件團伙在暗網主頁呼吁所有勒索團體應該放棄競爭團結起來聯合搞砸美國公共部門。搞的全球媒體為之震動，全球安全公司嚴陣以待。

　　但現在看來，你能想到這個新興的“Groove”勒索組織居然完全在玩弄全球安全公司和媒體，玩起了世紀大騙局。

　　Groove出世

　　Groove于8月22日首次在RAMP論壇上嶄露頭角，RAMP是一個新的且相當獨特的俄語暗網網絡犯罪論壇。

　　RAMP論壇的管理員“Orange”在一篇帖子中寫道：“GROOVE首先是一個以經濟為動機的激進犯罪組織，從事工業間諜活動已有大約兩年時間，”該帖子要求論壇成員參加為新組織設計網站的競賽。“讓我們明確一點，我們不會無緣無故地做任何事情，所以歸根結底，我們將從這場比賽中受益最大。”

　　根據McAfee發布的一份報告，Orange推出RAMP論壇是為了吸引因威脅太大而被主要網絡犯罪論壇驅逐的與勒索軟件相關的黑客們，或抱怨被不同勒索軟件附屬計劃改變或完全僵化的網絡犯罪分子。

　　該報告稱RAMP論壇是Babuk勒索軟件團伙成員之間糾紛的產物，其成員可能與另一個名為BlackMatter的勒索軟件組織有聯系。

　　“[McAfee] 高度自信地認為，Groove幫派是Babuk幫派的前附屬或子集團，他們愿意與其他各方合作，只要他們能從中獲得經濟利益，”報告稱。“因此，很可能與BlackMatter幫派有聯系。”

　　9月的第一周，Groove在其暗網博客上發布了近500000個Fortinet VPN產品客戶的登錄憑據、用戶名和密碼，可用于遠程連接到易受攻擊的系統。Fortinet表示，這些憑據是從尚未實施2019年5月發布的補丁的系統中收集的。一些安全專家表示，Fortinet VPN用戶名和密碼的發布旨在吸引新的附屬機構加入Groove。但這些憑據似乎更有可能是為了引起安全研究人員和記者的注意。

　　上周的某個時候，Groove的暗網博客消失了。在俄羅斯網絡犯罪論壇XSS上的一篇帖子中，一位使用“ Boriselcin ”句柄的老牌網絡騙子解釋說，Groove 只不過是一個與媒體和安全行業搞砸的寵物項目。

　　“對于那些不明白發生了什么的人：我成立了一個假的，并給自己起了個名字Groove Gang”，Boriselcin寫道。帖子的其余部分寫道：

　　“他們來者不拒，我扔了50萬個沒人需要的舊Fortinet[訪問憑證]，他們照單全吃。我說我將針對美國政府部門，他們依然照單全吃。很少有記者意識到這完全是一場表演，一個假的，一個騙局！我向那些想出這點的人表示敬意。我甚至不知道現在如何處理這個擁有大量流量的博客。也許賣掉它？現在我只需要開始寫[文章]，但我不能不檢查一切就開始寫它。”

　　回顧Boriselcin最近在XSS上的帖子表明他已經計劃這個計劃好幾個月了。9月13日，Boriselcin發布了“幾個話題正在成熟”，并且他打算發表一篇關于欺騙全球媒體和安全公司的文章。

　　“通過勒索博客操縱全球大型信息安全公司和媒體，”他寫道。“這些天閱讀Twitter和新聞真是太有趣了，但到目前為止結果很好。觸發信息安全公司的預警，我們成了世界信息安全辦公室的供應鏈。”

　　在其短暫的存在期間，Groove在其暗網受害者羞辱博客上只列出了少數受害者，導致一些人得出結論，該組織并沒有太大的威脅。

　　“我不會把這個太當回事，”The Record 的網絡安全記者卡塔琳·辛帕努在回答有關Groove振臂高呼攻擊美國政府的利益時說：“Groove是低級演員，技能很少。”

　　通常，當網絡犯罪論壇或企業被證明是假的或騙局時，我們了解到整件事都是美國和/或其他國家的聯邦調查人員的誘騙行動。也許我們沒有看到更多像 Boricelcin這樣的騙局的主要原因是因為里面沒有涉及到錢。但這并不是說他憤世嫉俗的策略沒有達到更大的目的。在過去的幾年里，我們看到多個勒索軟件團伙重塑自我并重塑品牌，以逃避起訴或經濟制裁。從這個角度來看，任何會造成混亂并使媒體和安全行業的時間和注意力遠離真正威脅的事情都是網絡犯罪社區的凈利。

　　Flashpoint情報高級副總裁湯姆霍夫曼說，“嘲笑西方媒體和記者是頂級網絡犯罪論壇上的常態。”“很明顯，犯罪分子閱讀了所有關于他們的新聞稿和Twitter聲明，”霍夫曼說。“我們知道他們中的一些人只是想給西方帶來痛苦，所以這種類型的拖釣可能會繼續下去。對這個人的高度關注，我想我們很快就會看到其他一些模仿者。”

　　大名鼎鼎的網絡情報公司Intel471則表示，雖然有可能是某個攻擊者炮制Groove來欺騙全球安全研究人員和媒體，但他們認為更有可能的是，該攻擊者試圖創建自己的勒索軟件組但并沒有按計劃進行。

　　“同樣重要的是要記住，任何勒索軟件即服務團伙的真實身份和性質并不總是很清楚，這些團伙的成員構成或附屬機構可能是流動的，”Intel471寫道。“盡管如此，并且基于我們從多個來源進行的研究，包括但不限于對共享基礎設施和受害者的觀察，我們相信‘boriselcin’運營著Groove博客和RAMP論壇是真的。因為此人是俄語網絡犯罪社區的知名成員，與多個勒索軟件團伙有聯系，并于8月提供1000美元，讓某人為Groove設計一個勒索軟件受害者羞辱博客。我們對演員提出的關于Groove從一開始就是精心設計的騙局的說法表示懷疑，盡管我們將來看到黑客進一步聲稱這一點也不會感到驚訝。”

　　如此看來真相真是撲朔迷離，或許只有時間給出答案。