FBI查封臭名昭著的俄罗斯暗网论坛RAMP，勒索软件团伙作鸟兽散

在美国联邦调查局（FBI）的努力下，臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP，即“俄罗斯匿名市场”（Russian Anonymous Marketplace）的缩写，是一个以俄语为主的在线交易平台，自称是“唯一允许勒索软件存在的地方”，深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的

在其他一些论坛（例如XSS）被查封后，RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。

美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调，执行了此次查封行动。目前访问RAMP的暗网Tor域名（rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion）及其明网域名（ramp4u[.]io），两个域名显示内容完全相同，为一个醒目的页面，页面显示执法部门的横幅广告，上面写着：“本网站已被查封”，意味着FBI已接管RAMP的域名。

扣押横幅上写着，FBI与美国佛罗里达州南区检察官办公室和美国司法部（DoJ）计算机犯罪和知识产权科（CCIPS）合作查封了该网站。该通知还嘲讽了RAMP运营商，上面写着“勒索软件唯一允许的地方！”，并配上了一张俄罗斯卡通人物玛莎（俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎）眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志，只列出了FBI和司法部的印章，似乎强调本次查封是美国当局独立完成的。

经“暗网下/AWX”测试，RAMP明网网站的域名服务器（DNS）记录已经重定向到FBI经常用于打击非法活动的域名服务器：

Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov

由于RAMP的暗网域名也被查封，本站（anwangxia.com）认为，FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息，如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息，也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。

目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。

RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应，表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动，但此次行动凸显了勒索软件即服务（RaaS）运营及其相关生态系统面临的日益严峻的压力。

RAMP宣称是唯一允许勒索软件传播的暗网论坛

RAMP于2012年创建，最初是一个运行在Tor网络上的暗网网站，但直到2021年才开始声名鹊起，其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit（俄罗斯网络犯罪领域两大主要暗网论坛）以及英语论坛BreachForums禁止讨论勒索软件之后形成的。

RAMP（俄罗斯匿名市场）宣称是暗网上唯一能允许勒索软件的论坛，该平台服务于俄语、中文和英语用户，拥有超过14000名注册用户，尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核，或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示，该网站在2024年的年收入为25万美元。

RAMP最初旨在连接勒索软件运营者、关联方和中间商，如今已发展成为勒索软件生态系统的核心枢纽，成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台，它更是一个勒索软件市场，DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员，宣传新的勒索软件变种，并共享行动情报，所有这些都是为了扩大自身的影响力和能力。

RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫（Mikhail Matveev）的俄罗斯公民，他也使用过Orange、Wazawaka和BorisElcin等化名，他于2022年表示，已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。

2023年，马特维耶夫因参与多起勒索软件攻击活动（包括Babuk、LockBit和Hive）而被美国司法部起诉，这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁，并被列入联邦调查局的通缉名单，美国国务院悬赏高达1000万美元，征集能够逮捕或定罪他的信息。

网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员，网络安全情报显示，Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。

在被查封后，情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说，RAMP是由与俄罗斯安全部门关系密切的人员创建的，目的是为了应对勒索软件即服务（RaaS）的蔓延。

他表示，直到2020年，俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。

“这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后，RaaS（风险即服务）呈爆炸式增长。这种模式失控地蔓延：甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的，”他补充道。

据专家称，RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。

Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。

她解释说，该平台“被广泛认为是一个高度可信的托管环境”，并且是勒索软件运营商、中间人和关联方的主要讨论中心。

CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说，RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场，从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。”

据了解，包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。

Stallman承认FBI已经控制RAMP论坛，暂无重建计划

在RAMP被查封后，Stallman在XSS论坛上用俄语发帖承认执法部门已经“控制了RAMP论坛”，称这次查封‘摧毁了我多年的工作’，并确认没有重建计划。”全文翻译如下：

RAMP论坛关闭

致所有相关人士：

很遗憾地通知大家，警方已经接管了Ramp论坛。这件事毁了我多年来打造全球最自由论坛的心血，虽然我一直希望这一天永远不会到来，但我内心深处始终明白它有可能发生。这是我们每个人都要承担的风险。

虽然我不再管理Ramp，也不会从零开始创建一个新的论坛，但我仍会继续购买访问权限。我的主要业务保持不变……

祝大家好运，请照顾好自己和家人。

Stallman

该帖子显示，虽然他们不会从头开始创建一个新的论坛，但还是会继续通过购买对潜在受害者网络的访问权限来从事网络犯罪活动。

Stallman决定不创建新版本的RAMP，很可能与他自身人身自由的担忧有关，RAMP管理员现在对俄罗斯情报部门来说已是“无用之物”，而且很可能在2025年一系列网络犯罪分子被捕后成为下一个目标。

查封行动很成功，但现实影响很有限

网络安全专家强调，虽然RAMP的运营商声称没有重建其他市场的计划，但其他犯罪分子很可能会转向其他地下市场来支持他们的犯罪活动。“这意味着，虽然RAMP已被关闭，这会给用户带来一些不便，但它对整个网络犯罪生态系统的影响将是有限的。”

这次查封行动不太可能意味着勒索软件和其他犯罪团伙的末日，这些团伙曾利用RAMP的网站买卖恶意软件和漏洞利用程序，并招募同伙。就像恐怖电影里的怪物一样，网络犯罪论坛永远不会真正消失，它们的用户很可能会分散到其他地下市场继续买卖非法服务。

Flare的高级威胁情报研究员 Tammy Harper（专门从事勒索软件研究）表示：“与以往的打击行动一样，移除一个主要枢纽并不会彻底摧毁整个生态系统，而是迫使其迁移。据报道，像Nova和DragonForce这样的组织正在将活动转移到Rehub，这表明地下组织能够在其他空间迅速重组。这些转变往往混乱不堪，给威胁行为者带来新的风险：声誉受损、资金托管不稳定、行动暴露，以及在重建信任的混乱过程中被渗透。”

此外，她还补充道，这类执法查获行动为网络防御者和威胁情报团队提供了“难得的机会”：“不仅可以破坏正在进行的犯罪合作，还有可能深入了解关联网络、财务关系和运营安全漏洞。”

美国国家情报总监办公室 (ODNI) 网络威胁情报整合中心前主任劳拉·加兰特 (Laura Galante) 在 2024 年告诉记者，域名查封等破坏性行动是重塑网络犯罪生态系统战略的一部分。

她补充说：“没有任何一次行动能够彻底根除勒索软件。相反，我们必须提高此类行动的频率和范围，定期摧毁基础设施，并定期点名那些为洗钱和勒索软件活动提供便利的交易所。”

加兰特解释说，此举旨在防止出现并巩固单一主导集团的地位。“破坏性行动，尤其是频繁的行动节奏，确实有助于防止任何一个集团或任何单一的专业工具集真正站稳脚跟。”

Galante表示，这种缺乏市场主导地位的情况“是勒索软件生态系统保持去中心化状态的方式之一”。

“破坏性行动对于阻止某些群体真正深入发展、更加专业化和成熟至关重要，它使这些组织变得更加混乱，但这最终反而有益，因为这需要更多的时间来重组并在未来成功运营。”