FBI秘密单位Group 78与勒索软件组织的对抗情况分析，收藏这篇就够了

最新推荐文章于 2025-12-16 23:33:27 发布

原创最新推荐文章于 2025-12-16 23:33:27 发布 · 299 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #安全 #web安全

程序员同时被 3 个专栏收录

2068 篇文章

订阅专栏

互联网

1932 篇文章

订阅专栏

职业发展

736 篇文章

订阅专栏

联邦调查局（FBI）下属的Group 78是一个高度机密的美国政府特别工作组，于2024年11月初首次向欧洲执法机构公开其存在。

该单位专注于打击俄罗斯境内受政府保护的精英网络犯罪集团，特别是Black Basta勒索软件组织。

根据《世界报》和《时代周刊》的联合调查报道，该单位的操作基于文件、多位欧洲警察和司法来源，以及数月调查所得。

尽管FBI拒绝回应评论请求，但Group 78的活动与2025年Black Basta的内部泄露事件存在时间线重合，可能加速了该团伙的瓦解。

Group 78的具体成立时间、政治动机以及所属联邦机构（如情报部门或军方）尚未明确，但其被描述为美国情报机构对网络犯罪的针对性回应。

该单位将俄罗斯境内受保护的网络犯罪集团视为国家安全威胁，Group 78的核心任务是通过破坏这些犯罪集团的运作环境，迫使成员离开俄罗斯领土，从而使其落入国际逮捕令范围。

该单位可能已针对Black Basta以外的其他集团开展行动，但具体范围未公开。然而，随着特朗普于2025年重返白宫，美国政府已解散三个针对俄罗斯的任务组，Group 78的未来存在不确定性。

Black Basta情况回顾

Black Basta是一个俄罗斯语勒索软件即服务（RaaS）团伙，于2022年4月左右首次出现，并迅速成为多产的网络犯罪组织。该团伙的成员主要使用俄语沟通，活动以加密受害者数据并勒索赎金为主，已针对全球超过500个组织发起攻击，覆盖至少12个关键基础设施部门，包括制造业、金融服务和医疗保健。

领导者和结构：Black Basta采用分层RaaS模式，包括核心开发者、附属攻击者和行政人员。已知领导者包括化名“GG”（可能于2025年被捕）和“Tramp”（真名为Oleg Nefedov），后者被指为高层决策者。内部聊天记录显示，该团伙强调严格的附属协议、赎金分成（通常80/20）和针对高价值目标的策略。
主要活动：自2022年起，Black Basta通过鱼叉式网络钓鱼、漏洞利用（如Qakbot恶意软件）和初始访问经纪人入侵受害者网络。随后，他们部署自定义勒索软件加密文件，并通过数据泄露网站威胁公开窃取信息。知名受害者包括美国和欧洲的保险公司、物流公司和医疗机构。该团伙避免攻击俄罗斯目标，但2024年曾针对俄罗斯银行发起行动，可能导致其在本土受阻。总体赎金收入估计达数亿美元。
2025年发展：2025年2月，一场大规模内部泄露事件暴露了20多万条聊天记录（聊天记录见文末），导致团伙分裂和解散。自2025年1月11日后，该团伙未公布新受害者，其三个数据泄露网站均已下线，活动显著减少。

一提到这里，黑鸟就在想，既然Black Basta是由FBI亲手摧毁掉，那么该组织内部是如何评价FBI的呢，带着这个疑问，启动了黑鸟AI情报云系统，通过RAG数据喂料得到相关结果，并得到一个可怕的结论。

Black Basta勒索软件组织正在利用敌人针对他的攻击活动，来增强自己的网络防御和攻击实力。

“从这种情况可以得出什么结论？最简单的办法就是，我们需要更频繁、更广泛地攻击 .gov 域名。正是在这样的攻击之后，FBI 才会被迫暴露我们的弱点和漏洞，从而增强我们的实力。通过攻击 .gov 域名，我们可以确定 FBI 是否有能力攻击我们。🤡”

原文：Какие выводы можно сделать из этой ситуации? Очень простые, что нужно чаще и больше атаковать .gov сектор, именно после таких атак ФБР будет вынуждена показывать мне слабые и уязвимые места и делать меня сильнее. Атакуя .gov сектор можно точно узнать есть ли у ФБР возможность атаковать нас или нет.

同时也暴露出，Mandiant仍然在积极进行勒索软件赎金的谈判。

“从Alfvi和Change Healthcare的进展来看，他们肯定会非常生气，因为他们用的都是同一个谈判专家——谷歌的Mandiant。我已经和他谈判过很多次了，他简直就是个十足的混蛋。

FBI和CISA有义务介入，这将促使他们严厉打击Black Basta。有趣的是，我们在虚拟化环境中找不到访问权限，所以我决定通过安全模式销毁所有车辆。我们迅速加密了他们的文件，并将整个系统切换到安全模式。

那么，让我们看看他们是怎么聊天的，说了些什么。我倾向于把解密文件交给他们。”

内部泄漏事件中涉及的网络攻击武器列表

VPS账号密码

网站账号权限

经典admin123! 弱密钥

上述聊天记录，感兴趣的同学，可以持续关注，我后期会专门出个完全分析版本报告，下面回归正题。

Group 78对抗勒索软件团伙策略

Group 78采用双重策略，重点强调“摧毁其声誉”（take down their reputation），以打破犯罪分子的匿名性并阻碍其合作：

俄罗斯境内直接干预：通过敏感行动破坏Black Basta成员的活动，包括监视、施加逮捕压力或生态破坏，使其生活环境难以维持，从而迫使他们迁移。
影响俄罗斯当局：通过施压或操纵手段，促使俄罗斯政府结束对这些犯罪集团的保护。

这些策略于2024年11月的会议中由FBI特工成员详细介绍，但未披露具体工具或方法。欧洲调查显示，Group 78已在1-2个调查中出现，引发调查员的显著不满，并导致部分Black Basta追捕计划的调整。摩擦由此开始

一个相关案例来自Black Basta成员“Bio”的Telegram泄露对话，该成员描述了2024年9月的一次“aggressivnyy arest”（俄语的“激进逮捕”），随后被释放但感到持续监视。该事件的时间线与Group 78的活跃期一致，但缺乏确凿证据。

2024年11月初，欧洲警察在荷兰海牙的Europol（欧洲刑警组织）总部举行秘密会议，讨论针对Black Basta的联合调查。

FBI作为长期合作伙伴出席，但FBI联络人员却让Group 78代表人员进行汇报。随后，在欧洲司法协调机构Eurojust的第二次会议上，该汇报重复进行。欧洲调查人员和法官对这一引入表示震惊，认为其为“爆炸性”事件和“前所未有”的情报介入。（实际上就是关于泄漏该组织聊天记录的策略由这个秘密机构进行操作一事）他们担忧Group 78的情报主导战术可能干扰司法程序、合法化非法行动，并模糊情报与透明合作之间的界限。