一个成立仅3个月的勒索软件团伙,正在用同行最擅长的手段勒索同行。0APT不仅偷了Krybit的数据,还在 leak blog 上义正辞严地谴责对方"对全球网络安全构成重大威胁"——这套说辞和他们用来勒索企业的模板一模一样。
这种"黑吃黑"的荒诞剧,暴露了勒索软件地下经济的深层裂痕。
事件时间线:48小时内的闪电战
0APT于2026年1月上线。根据Halcyon勒索软件研究中心的评估,该团伙"构成实质性威胁",技术深度"可信"。
但诡异的是,诞生头48小时内,0APT就在其泄密博客上发布了数百家受害组织——这个数字几乎肯定掺水。Halcyon明确指出,其中包含大量虚报的受害者。
这种"开局即爆发"的模式,在勒索软件圈并不常见。通常新团伙需要数月建立基础设施、招募附属成员、测试加密工具。0APT的激进策略暗示两种可能:要么背后有成熟团队换皮重生,要么采用了自动化批量扫描+低质量加密的"撒网"战术。
相比之下,Krybit的底细模糊得多。没有任何主流威胁情报机构发布过关于该团伙的报告,暗网追踪平台显示其活跃时间仅数周——依据是其近期宣称的受害者名单。
3月15日(周日),暗网监控人员发现0APT的异动:该团伙在泄密博客发布针对Krybit的勒索公告,并附上一小部分 allegedly 窃取的数据作为警告。
Krybit官网随即下线,替换为一句苍白的维护声明:"一切将很快恢复正常。为此道歉。很抱歉给您带来不便。"
0APT的"双重勒索"为何对同行失效?
0APT的威胁文本几乎照搬标准勒索模板:
「如果该组织不付款或联系我们,我们将公布其身份照片、姓名、位置及其他信息。如果你是他们的受害者,联系我们解锁你的数据。」——0APT
但勒索软件商业模式的核心杠杆,在这里几乎全部失灵。
第一,声誉损毁无效。企业受害者在双重勒索下面临监管罚款、客户流失、股价下跌, criminals 没有这些顾虑。Krybit的"品牌"本身就是负资产,曝光与否不影响其运营能力。
第二,数据解锁承诺缺乏吸引力。0APT邀请Krybit的"受害者"联系自己解密——但Krybit的受害者本就是企业,他们要么已经付费给Krybit,要么数据已被公开。0APT的介入创造了一种荒诞的三方博弈:企业可能同时被两个勒索团伙盯上。
第三,唯一有效的威胁点:身份暴露。
网络安全公司Barricade Cyber Solutions负责人Eric Taylor的团队下载了0APT泄露的Krybit样本文件。他们发现:明文存储的Krybit运营者及附属成员凭证、5个加密货币钱包地址,以及关键情报——没有证据表明Krybit成功收到过任何一笔赎金。
这对地下世界是真正的杀招。勒索软件运营者极度偏执于匿名性,一旦身份照片、真实姓名、地理位置流出,面临的不仅是执法追捕,还有同行清算、受害者复仇、以及暗网信誉的彻底崩塌。
黑吃黑的前史:DragonForce的"统一战争"
犯罪组织互攻并非孤例。2025年,DragonForce曾攻击竞争对手BlackLock和Mamona,篡改其网站并泄露内部通讯。
更戏剧性的是2024年4月:DragonForce在一个月的内斗后,接管并关闭了昔日勒索软件霸主RansomHub的运营。这场"王朝更迭"展示了地下经济的残酷逻辑——当法律约束为零时,暴力(数字或物理)成为最终仲裁手段。
0APT对Krybit的行动,规模远小于DragonForce的战役,但模式相似:利用技术渗透获取内部情报,公开羞辱削弱对手信誉,最终目标可能是吸收其附属网络或直接消灭竞争。
区别在于动机透明度。DragonForce的攻击带有明显的地盘扩张色彩,0APT的诉求却模糊不清——是要Krybit的赎金分成?迫使其并入?还是单纯的立威表演?
技术细节中的异常信号
Taylor团队发现的几个数据点值得拆解:
明文凭证的存在说明Krybit的安全实践存在基础漏洞。勒索软件团伙自身就是网络攻击者,理应最懂防御,但"医者不自医"的现象在地下世界普遍存在——许多团伙的运营基础设施比其受害者的更脆弱。
5个加密货币钱包地址的暴露,为区块链分析提供了切入点。如果这些地址与已知交易所、混币服务或之前的勒索活动关联,可能追溯出Krybit的资金流向和人员网络。
零赎金记录则暗示Krybit可能处于运营早期,或技术能力不足以完成完整的加密-解密闭环——后者在勒索软件即服务(RaaS)生态中常见,附属成员使用劣质工具导致文件损坏,受害者即使付费也无法恢复。
0APT选择此时出手,可能是精准计算的"抄底":在Krybit建立稳定收入流之前将其扼杀,以最小成本消除潜在竞争。
地下经济的"柠檬市场"效应
这场互撕揭示了一个反直觉的趋势:勒索软件行业的准入门槛正在降低,但生存门槛急剧升高。
0APT的48小时数百受害者策略,与Krybit的数周零赎金记录,共同指向市场过度拥挤。新团伙可以轻易获取开源加密工具、购买网络访问权限、租用基础设施,但区分"能加密"和"能收钱"的能力鸿沟在扩大。
这创造了DragonForce、0APT等"掠食者"的生态位——他们不攻击企业,攻击其他攻击者,通过吞并或消灭弱势竞争者来巩固地位。某种程度上,这是地下世界的"自然选择"加速版本。
对企业防御者而言,这种内斗提供了意外情报窗口。Krybit钱包地址的泄露、0APT早期虚报受害者的模式、以及双方基础设施的暴露,都是可纳入威胁狩猎的指标。
但风险同样存在:当勒索团伙将攻击目标转向同行,其技术工具和渗透手法可能在对抗中快速进化,最终回流到企业攻击场景。
0APT的"道德表演"与品牌策略
最具讽刺意味的是0APT的公开措辞。该团伙在博客中将Krybit定义为"勒索软件团伙",并声明"此类团体对全球网络安全和数据隐私构成重大风险"。
这种话语挪用具有双重功能。对外,它模仿执法机构或白帽黑客的叙事,试图在暗网受众中建立"有原则的犯罪分子"形象——尽管荒谬,但在某些社区确有市场。对内,它为攻击同行提供合理化框架,将经济竞争包装为"清理门户"。
这种品牌操作在合法科技行业常见("我们不做X,我们重新定义X"),移植到犯罪场景后产生黑色幽默效果。它也暗示0APT的运营者可能有传统营销或公关背景,或至少深度研究过企业话语策略。
Krybit的回应则暴露了其脆弱性。官网下线的速度和维护声明的模板化措辞,表明该团伙缺乏成熟的危机响应流程——这与其疑似早期运营阶段一致。
执法视角的困境与机会
传统上,勒索软件团伙互斗对执法机构是双刃剑。
积极面:内斗产生泄露数据、暴露身份、消耗资源,降低整体威胁水平。RansomHub的覆灭直接减少了2024年上半年的全球勒索活动量。
消极面:胜利者往往吸收失败者的技术和网络,形成更大、更复杂的威胁实体。DragonForce在消灭RansomHub后,其攻击规模和 sophistication 显著提升。
0APT-Krybit冲突的规模较小,但如果0APT成功,可能验证一种可复制的扩张模式:快速孵化、虚报战绩、识别弱势同行、技术渗透、公开勒索、最终吞并。这种模式若被其他团伙效仿,将加速地下经济的集中化。
对于追踪0APT的分析师,该团伙早期的虚报受害者行为是一个关键指标。这种"数据注水"策略在合法科技行业对应增长黑客的虚荣指标,在犯罪场景则可能导致资源错配——企业防御者可能被虚假警报分散注意力,而真正的攻击被淹没在噪音中。
当攻击者成为攻击目标,防御逻辑如何改写?
企业安全团队长期假设勒索软件运营者是匿名的、受保护的、不可触及的。0APT对Krybit的行动证明这个假设正在松动——攻击者之间的互不信任,创造了新的情报来源和干扰机会。
但这也提出了一个棘手的问题:如果勒索软件行业的"头部效应"持续强化,最终存活下来的少数超级团伙,是否会比当前的碎片化格局更难对付?当DragonForce或0APT这类"掠食者"消灭所有小型竞争后,企业将面临更少但更强的对手——这种集中化究竟是利好还是隐患?
热门跟贴