DDoS敲诈组织Armada Collective开始玩勒索软件了？怎么看都是个外行

从去年9月份开始，名为DD4BC的黑客组织开始用发送勒索邮件的方式对一些网站的负责人进行敲诈。估计他们自己也没想到，这种方式竟然会因为他们变得流行起来。同期涌现出了很多模仿这种方式进行勒索的组织，Armada Collective就是其中之一，而Armada Collective最著名的勒索事件，就是强迫Proton Mail的供应商花6000美元来终止针对他们的大型DDoS攻击。

欧洲刑警组织实际在去年冬天就逮捕了DD4BC组织的关键负责人，继负责人被抓之后，这种勒索方式似乎告一段落。直到2016年初，又开始有很多公司收到类似的勒索邮件，邮件内容都是：除非支付赎金，不然就会遭到DDoS攻击（DDoS-for-Bitcoin）。

Armada Collective模仿者的崛起

最近，来自南非伊丽莎白港的Etienne Delpor是这种邮件勒索事件最新的受害者，她还是Alpha Bookkeeping Services网站的站长。9月5号，她在Twitter上po出了一封邮件，内容就是来自Armada Collective组织的勒索信。

这封勒索信的具体内容如下：请尽快支付1比特币（约610美元）到指定账户，否则你的网站将在明天遭到10-300Gbps的DDoS攻击。一旦DDoS攻击开始之后，就必须要20比特币（约12,150美元）的赎金，才能停止攻击。

其实早在今年4月，提供网络安全业务的公司Cloudflare就提到，当时出现了一个新兴DDoS勒索组织。这个组织一直按照一封含有特定比特币地址的邮件来进行敲诈勒索，邮件的署名都是Armada Collective和LizardSquad——这两家都是曾经发起过大规模DDoS攻击的组织。事实上，并没有证据证明这家新兴勒索组织真的发起过DDoS攻击。很显然，他们就是想通过这样的化名来引起更多的关注，增加一定的威慑力。

虽然安全研究人员无法确定攻击是否来自真正的Armada Collective组织，但真正的Armada Collective组织过去发起的DDoS攻击，都是针对一些有能力支付赎金的大型企业。不像最近，这些自称是Armada Collective的组织完全变成了无差别攻击，各种规模的网站站长和企业负责人都会收到这样的勒索邮件，收到邮件的受害者数目也呈指数型增长。

Delpor收到的勒索邮件中支付比特币的地址是：1Pnv9xaEdBFGXzhX6EDo2XAgrDxxdg25WU，如果用Google搜索该地址，还会发现一大堆新的受害人。他们都收到过类似的勒索信，信里面的赎金支付账户也都是同样的地址。从时间上来看，第一封这样的勒索信可以追溯到几个月以前。巧合的是，这个账户地址也与今年4月份CloudFlare发现的那家、既用Armada Collective又用LizardSquad做化名发送勒索邮件的组织相同。

因此CloudFlare在其初始报告中就声称，这个模仿组织只是徒有虚名，只会发发威胁邮件，实际上并没有发起DDoS攻击的能力。

看起来，要分辨邮件是否来自真正的Armada Collective组织还是很困难的。

所谓的Armada Collective敲诈组织很业余

从Delport刚刚收到的勒索邮件可以看出，邮件背后的组织还在攻击策略中结合了新元素，这个新元素就是Cerber。

Cerber勒索软件起源于俄罗斯，一开始还没有跟DDoS一起结合使用。Cerber攻击通常都发生的十分突然，其特色在于会将勒索内容逐字逐句大声读出来给受到攻击的人听，告诉你需要支付赎金来解锁你的文件。Cerber本身也是种“Ransomware-as-a-Service”型产品，想要发起勒索的人只需要将赎金按照一定的百分比上缴给软件开发商，就可以随意部署勒索软件了。

如今，勒索组织越来越多，勒索软件也越来越流行。所以这个自称是Armada Collective的组织也认为，将勒索软件附在邮件里是提高知名度的好办法。

这家组织的勒索软件是这么写的：“网络中的所有电脑都会被攻击——即加密了的Cerber勒索软件。”（All the computers on your network will be attacked for Cerber – Crypto-Ransomware）

看到这封邮件的第一感觉，应该是这个组织很明显不是来自英语母语国家，其次，他们应该根本就不懂Cerber代表着什么。

DDoS攻击并不能将勒索软件部署到网络中。而且Web服务是基于Linux系统的，Cerber勒索软件也无法感染Linux设备。如果真的要将Cerber装上去，攻击者必须入侵服务器。如果攻击的黑客技术高到可以直接侵入你的服务器、进入内部网络，那他完全可以直接将内部数据放到暗网拍卖，又何必要闲着没事发封勒索软件给你，难道就是为了炫耀么？这个组织大概只是想发发这种新的威胁邮件，来吓唬一下受害者。

支付还是拒付，这是一个问题

9月份Delport收到勒索邮件之后，IBTimes（International Business Times）还为她做了一个专访。Delport在采访中回应，没有要付赎金的打算。这家媒体还提到了另外一个收到勒索邮件的受害人，一位叫做Michael O’Connor的职业音乐家，他的选择是直接将邮件上传到英国警方的防欺诈网站上。

如果去查下勒索信里的比特币账户，就会发现还没有任何赎金的支付记录。

我们的建议是，一旦网站的负责人收到类似的邮件，可以寻求DDoS缓解服务的帮助，毕竟不怕一万，只怕万一。从执法机关的角度来说，无论是在现实生活中还是在网络上，这种勒索要求赎金的案件都是最好不要支付赎金，不要满足勒索者的要求。

像是Delport的情况，攻击者就没能像他们威胁的那样对她的网站发起DDoS攻击。下面就是勒索邮件的完整内容。

*参考来源： SOFTPEDIA，FB小编孙毛毛编译，转载请注明来自FreeBuf.COM