近日，暗网里的口水战比较多，”Kirin博客“注意到最近比较活跃的新勒索软件团伙Ransomed.VC宣称与专注于共享数据的网站Breachforums达成合作协议，但BreachForums的负责人断然否认了与 Ransomed.VC合作的情况。 10月7日，暗网勒索软件团伙Ransomed.VC在其暗网网站发布一篇公告形式的博客文章”与Breachforums合作“，该文章公布了Breachforums的暗网与明网网址，并写道，其组织决定与一个他们最初并不相信的论坛（Breachforums）合作，他们曾以为这个项目已经死了，但结果它居然并没有死。 Partnership With Breachforums Our group has decided to partner with a forum we did not really believe into first. We had thoughts the project is dead, but wait, It ISNT. Our team has seen breachforums is keeping their operation way more serious than ever, this means our team will and would use their forum to share. We had a lot of issues finding a forum that wont ban us because the attention it can bring to us. Ransomed在文章里说，他们的团队看到，Breachforums比以往任何时候都更加认真地开展工作，这意味着Ransomed团队将使用Breachforums进行分享。 Ransomed称，他们在寻找一个不会禁止他们的论坛时遇到了很多问题，因为这会给他们带来很多关注。 但是，很快Breachforums网站的管理员Baphomet在网站上专门发布一个主题公告，名为”澄清与本论坛的伙伴关系“，其表示”我想发布这个消息，因为我认为有些媒体对RansomedVC最近发布的消息有误解“。 Baphomet在公告里说，RansomedVC宣布他们已与Breachforums合作，但事实并非如此，Breachforums目前没有与任何团体、论坛等合作。 Baphomet在公告里解释了RansomedVC发布这篇博客文章的背景：在他与RansomedVC的运营者进行了一些交流讨论之后，得知RansomedVC希望在Breachforums社区中活跃起来，但由于RansomedVC团体对Breachforums社区进行了持续的攻击，因此目前还未被允许这样做。Baphomet说，在他们的讨论中，他明确表示，如果要考虑让RansomedVC加入其论坛，RansomedVC就必须真正支持Breachforums，而不是一直攻击。作为回应，RansomedVC发表了一篇博客文章，宣布建立合作伙伴关系，以证明他们是真心实意地积极参与Breachforums的社区活动。背景就是这样的。从RansomedVC向其澄清的情况来看，他们发表博文是为了表明他们有兴趣积极参与Breachforums的社区活动，因为他们在其他几个社区（包括之前在Breachforums社区）都遭到了封禁。 Baphomet在公告里接着表示，他们的社区不是勒索软件社区，他们明确不允许RansomedVC利用他们的论坛进一步勒索/骚扰受害者。Breachforums社区是用来共享数据的，这样人们就可以了解哪些信息被泄露，并相应地使用这些信息。Baphomet称将继续与不同的团体进行交流，看看他们是否适合Breachforums社区，这就是他们应该从中得到的所有启示。他们一直在重新评估他们的论坛应该允许哪些人和哪些事，这类讨论只是其中的一部分。 Baphomet总结说，所以还是那句话，Breachforums与RansomedVC之间没有合作关系。只是讨论Breached是否会考虑允许RansomedVC成为其社区的一部分，尽管Breachforums曾与RansomedVC有过合作。 从Breachforums网站管理员Baphomet的回应看，Baphomet应是希望Breachforums社区能够长远的发展，而不想与勒索软件团伙发生太多的关系。近年来，活跃的勒索软件团伙一直是各国执法机构的眼中钉，并已经有数十人被FBI、国际刑警组织、欧洲刑警组织抓获。 更多暗网新闻动态，请关注“Kirin博客”。...

  在过去两年中，人们目睹了新的暗网勒索软件集团的不断升级，其中许多要么在几个月内消失，要么改名换姓。 例如以下的勒索软件团队，出现的时间不长，很快就湮没在历史的长河里。 Atom Silo（2021年12月-2022年1月） Black Shadow（2021年12月-2022年8月） Bonaci Group（2021年10月-2021年12月） Cross Lock（2023年4月-2023年7月） Dark Power Ransomware（2023年3月-2023年3月） DarkRace（2023年6月-2023年6月） DataLeak（2022年12月-2023年2月） Karma Leaks（2021年10月-2021年11月） Midas（2021年11月-2022年4月） Monte（2022年9月-2022年9月） Night Sky（2022年1月-2022年1月） Pandora（2022年3月-2022年5月） RedAlert（2022年8月-2022年12月） Rook（2021年12月-2022年1月） Sparta（2022年9月-2022年10月） Spook（2021年10月-2021年10月） Unsafe（2022年12月-2023年7月） Vsop（2022年9月-2023年1月） XingLocker（2021年4月-2022年1月） 但是，Ransomed似乎是又一个在几个月内出现又消失的勒索软件团伙，所有迹象都表明了这一点。 近日，出版物SuspectFile采访了Ransomed勒索软件团伙的负责人，他曾多次试图启动自己的暗网资源，他表示，他宁愿死也不愿被美国联邦调查局（FBI）逮捕。 Ransomed最初的“副标题”是RansomForums，该项目还在一个新的Telegram频道上进行推广。然而，仅仅几天后，论坛和Telegram频道都被封锁和关闭了。 BlackForums论坛的情况也好不到哪里去，这是同一个网络犯罪团伙推出的另一个论坛，主要收集几个月前从其他论坛泄露的旧数据库。该论坛于今年4月9日首次推出，但两个月后，该论坛已无法访问。 该犯罪团伙试图通过位于大西洋和加勒比海之间的尼维斯岛上的新域名注册商/服务器提供商Njalla*使BlackForums.net重新上线。由于提供商Njalla暂停了论坛的发布，论坛再一次不见天日。 *Njalla的所有者是海盗湾的创始人彼得-桑德（Peter Sunde）。 9月2日和16日，BlackForums第无数次尝试上线，这一次依靠的是注册商Tucows Inc.该论坛目前已上线，并进行了全新设计。 该塞尔维亚/保加利亚籍网络犯罪分子最近几周在他的Tox频道上聊天时向记者声称，他曾多次试图“维持”他的项目。然而，根据记者的观察，他的技术似乎并不像他声称的那样先进。事实上，Ransomed.vc网站又再次无法访问。 记者分析称：“我们已经形成这样的观点：该勒索软件团伙的领导者一只脚在现实世界中行走，另一只脚在虚构世界中行走——性格暧昧，有时试图将自己的不安全感和恐惧隐藏在多重人格背后；毫无疑问，他是一个强烈渴望被关注的人，不仅为了金钱，而且为了精神健康而不断努力。” 该勒索软件团伙的负责人首先表示，他不支持对俄罗斯和乌克兰的公司进行攻击，因为“与该组织合作的大多数人都来自那里”。同时，他自称为一半保加利亚人、一半塞尔维亚人，还暗示了对激进保加利亚民族主义者的同情。 当被问及联系前BreachForums员工以了解他们可能在新地点就业时，这位Ransomed的领导者表示，他“不跟狗说话”。他非常详细地谈到了他是否害怕重蹈BreachForums负责人的命运的覆辙，原先的BreachForums的创始人Pompompurin目前正在美国接受调查，这得益于FBI的努力。 该网络黑客说道：“嗯，那是联邦调查局的工作，我并不因此而讨厌他们。至于如果落入FBI魔掌的话，我肯定会想办法自杀。何时何地并不重要。他们可以得到我的身体，但不能得到我。” 记者：你所说的保加利亚国籍有多少真实性？我个人认为你不是保加利亚人，甚至不是俄罗斯人。 Ransomed：我是保加利亚人，也是塞尔维亚人。我现在和将来都会为我们的祖国创造了类似的大师而感到自豪。 我们对”Pulpo”、”Creeper”、”Impotent”、”Kmeta”、”KmetaNaEvropa”和”Promise”等众多化名背后的人形成的印象是，这些化名是该网络黑客声称过去使用过的，记者在DataBreaches的@Dissent发布的故事/访谈中也发现了这些化名。 记者通过与他在Tox上的“聊天”，对他形成了这样一种看法：他一只脚踏在现实世界，一只脚踏在幻想世界。他是一个性格暧昧的人，有时试图用多重身份来掩饰自己的不安和恐惧，毫无疑问，他是一个强烈渴望被人看到的人，不仅不断追求经济上的幸福，也不断追求精神上的幸福。 坦率地说，记者很难相信他这几个月来在各种采访中所说的一切。相反，记者认为他的许多言论都“添加”了大量的想象力，但也许他所描述的就是他真心希望有一天会发生在自己身上的事情。 SuspectFile.com 对 Ransomed.vc 进行的采访 SuspectFile：新项目 Ransomed.vc 于 8 月 15 日正式启动，当天域名由位于大西洋和加勒比海之间的尼维斯岛上的 Njalla* 托管服务器注册： 1337 Services LLC – Charlestown, KN -（此信息将在另一个问题中再次讨论）。您是 Ransomed.vc 的所有者吗？您过去曾使用过哪些昵称？您过去曾是哪些论坛的所有者、管理员或版主？与 *Conor Brian Fitzpatrick (Pompompurin) 以前使用的提供商相同。 Ransomed.vc：是的，我记得他经常使用它。 SuspectFile：你曾经或现在与曾是 BreachForums 团队成员的人有什么联系（如果有的话）？ Ransomed.vc： 我不和狗说话。但有几个好人，比如 armadyl 和 dedale，他们都不傻，其他人只是浪费时间。 SuspectFile: Ransomed.vc 托管在 Tor 平台上。我们是否应该将其视为永久性解决方案，或者您是否计划在不久的将来回到原来的地方来管理一个新的论坛？ Ransomed.vc： 我认为这是我不与 njal.la. 对话的唯一途径。他们最近暂停了我们的域名。 SuspectFile：在你的博客上，你列出了几位受害者，其中我们想关注的是美国的 SFK，你提到他们与 Everest 勒索软件组织共享。你是否打算再次采取与其他组织积极合作的做法？ Ransomed.vc： 我们会一直寻求与任何组织合作。 SuspectFile：几个月前，在与 Everest 的一次谈话中，我们谈到了一个与你们最近几周创建的项目非常相似的新项目。Everest 一直被认为是一个团体，但实际上，”团体 “是由一个人组建的。Everest 提到了联盟计划以及与其他团体合作的可能性。我们是否可以说，你们已经掌握了 Everest 原始项目的所有权？ Ransomed.vc： 不，我自己的想法。 SuspectFile：在最近接受“每日暗网”（https://linktr.ee/dailydarkweb）的采访时，你表示你的组织目前由大约 80 名附属成员组成，从你的回答来看，你似乎并不是对受害者进行攻击的人。如果说你在 Ransomed.vc 内部只负责协调和管理，这是否正确？ Ransomed.vc： 是的，我对一些网站进行过攻击，但我现在太忙了，根本没时间看这些网站。 SuspectFile：在你们博客常见问题的第 2 点，你们规定了联属会员与你们沟通的方法，除英语外，还规定使用俄语。在第 9 点，你们禁止联属会员对俄罗斯和乌克兰实体发动攻击。自然可以推断出，你们既不是德国人，也不是意大利人。但是，如果有的话，你们在 X（推特）频道上将苏联（USSR）列为你们的所在地的动机是什么？ Ransomed.vc：和我共事或为我工作的大多数人都来自那里。当地联邦政府没必要在那里盯着我们。 SuspectFile：这几天，我们发现 BlackForums.net 论坛似乎也与你有关。该域名注册于 9 月 4 日，我们发现注册人联系人再次位于尼维斯岛上的城市查尔斯顿，就像 Ransomed.vc 一样。目前，该论坛的 URL 无法访问（502 坏网关，另一个 DDoS？），但我们可以看到该论坛的结构与 RansomForums 遭受 DDoS 攻击并随后关闭之前的结构非常相似。你们使用的是泄露的论坛数据库，如 BreachForums、Exposed 和 RaidForums，这种说法对吗？ Ransomed.vc： 它不是一个 ddos，只是一个被暂停的域名。 SuspectFile：你是否同意我们的说法，即最近一段时间，你的最新项目引起了执法机构，特别是联邦调查局和欧洲刑警组织的高度关注，你使用的供应商在短短几天内就关闭了你的账户就是证明？你是否担心自己很快就会遭遇像 Pompompurin 这样的黑客一样的命运？ Ransomed.vc：我猜这是他们的工作，我并不因此而讨厌他们。 我只是觉得他们不配活着。关于我落入 FBI 手中的问题，我总能找到自杀的方法。无论何时何地，所以他们可能会得到我的尸体，但不能得到我。 SuspectFile： 最后一个私人问题，当然你可以不回答：我们有机会与你交流了几天。您的包容和经常开玩笑的态度给我们留下了深刻的印象。然而，我们也在你的博客上读到了一些段落，其中对那些阅读你文章的人有一种轻微但明显的傲慢态度。您性格中的这些方面是代表了真实的自我，还是为了掩盖您这一行的人如果想在一天结束时 “完好无损地回家 “而应该始终怀有的恐惧和怀疑？ Ransomed.vc： 我的真实自我与我在这里所展示的面孔并不接近。在现实生活中，我没有那么咄咄逼人，也不会做我在网上做的任何事情。我过着美好而高品质的生活。 SuspectFile: 谁和你一起运行 ransomed.vc？如果你回答说你没有合作者，我们也不会感到惊讶，因为你更喜欢自己管理一切，而不是依赖某个你无法直接控制的人。 Ransomed.vc： 我就是运营 ransomed.vc 的人，没有其他人管理它。 SuspectFile：去年 8 月，DataBreaches.net 的 @Dissent 发表了一篇采访你的文章，在你的一条回复中，我们看到你说你会离开你的这份 “工作”，享受生活，你有过这样的想法吗？ Ransomed.vc： 我就快退休了。再干几年吧。 ...