從去年9月份開始，名為DD4BC的黑客組織開始用發送勒索郵件的方式對一些網站的負責人進行敲詐。估計他們自己也沒想到，這種方式竟然會因為他們變得流行起來。同期涌現出了很多模仿這種方式進行勒索的組織，Armada Collective就是其中之一，而Armada Collective最著名的勒索事件，就是強迫Proton Mail的供應商花6000美元來終止針對他們的大型DDoS攻擊。

歐洲刑警組織實際在去年冬天就逮捕了DD4BC組織的關鍵負責人，繼負責人被抓之后，這種勒索方式似乎告一段落。直到2016年初，又開始有很多公司收到類似的勒索郵件，郵件內容都是：除非支付贖金，不然就會遭到DDoS攻擊(DDoS-for-Bitcoin)。

Armada Collective模仿者的崛起

最近，來自南非伊麗莎白港的Etienne Delpor是這種郵件勒索事件最新的受害者，她還是Alpha Bookkeeping Services網站的站長。9月5號，她在Twitter上po出了一封郵件，內容就是來自Armada Collective組織的勒索信。

這封勒索信的具體內容如下：請盡快支付1比特幣(約610美元)到指定賬戶，否則你的網站將在明天遭到10-300Gbps的DDoS攻擊。一旦DDoS攻擊開始之后，就必須要20比特幣(約12,150美元)的贖金，才能停止攻擊。

其實早在今年4月，提供網絡安全業務的公司Cloudflare就提到，當時出現了一個新興DDoS勒索組織。這個組織一直按照一封含有特定比特幣地址的郵件來進行敲詐勒索，郵件的署名都是Armada Collective和LizardSquad——這兩家都是曾經發起過大規模DDoS攻擊的組織。事實上，并沒有證據證明這家新興勒索組織真的發起過DDoS攻擊。很顯然，他們就是想通過這樣的化名來引起更多的關注，增加一定的威懾力。

雖然安全研究人員無法確定攻擊是否來自真正的Armada Collective組織，但真正的Armada Collective組織過去發起的DDoS攻擊，都是針對一些有能力支付贖金的大型企業。不像最近，這些自稱是Armada Collective的組織完全變成了無差別攻擊，各種規模的網站站長和企業負責人都會收到這樣的勒索郵件，收到郵件的受害者數目也呈指數型增長。

Delpor收到的勒索郵件中支付比特幣的地址是：1Pnv9xaEdBFGXzhX6EDo2XAgrDxxdg25WU，如果用Google搜索該地址，還會發現一大堆新的受害人。他們都收到過類似的勒索信，信里面的贖金支付賬戶也都是同樣的地址。從時間上來看，第一封這樣的勒索信可以追溯到幾個月以前。巧合的是，這個賬戶地址也與今年4月份CloudFlare發現的那家、既用Armada Collective又用LizardSquad做化名發送勒索郵件的組織相同。

因此CloudFlare在其初始報告中就聲稱，這個模仿組織只是徒有虛名，只會發發威脅郵件，實際上并沒有發起DDoS攻擊的能力。

看起來，要分辨郵件是否來自真正的Armada Collective組織還是很困難的。

所謂的Armada Collective敲詐組織很業余

從Delport剛剛收到的勒索郵件可以看出，郵件背后的組織還在攻擊策略中結合了新元素，這個新元素就是Cerber。

Cerber勒索軟件起源于俄羅斯，一開始還沒有跟DDoS一起結合使用。Cerber攻擊通常都發生的十分突然，其特色在于會將勒索內容逐字逐句大聲讀出來給受到攻擊的人聽，告訴你需要支付贖金來解鎖你的文件。Cerber本身也是種“Ransomware-as-a-Service”型產品，想要發起勒索的人只需要將贖金按照一定的百分比上繳給軟件開發商，就可以隨意部署勒索軟件了。

如今，勒索組織越來越多，勒索軟件也越來越流行。所以這個自稱是Armada Collective的組織也認為，將勒索軟件附在郵件里是提高知名度的好辦法。

這家組織的勒索軟件是這么寫的：“網絡中的所有電腦都會被攻擊——即加密了的Cerber勒索軟件。”(All the computers on your network will be attacked for Cerber – Crypto-Ransomware)

看到這封郵件的第一感覺，應該是這個組織很明顯不是來自英語母語國家，其次，他們應該根本就不懂Cerber代表著什么。

DDoS攻擊并不能將勒索軟件部署到網絡中。而且Web服務是基于Linux系統的，Cerber勒索軟件也無法感染Linux設備。如果真的要將Cerber裝上去，攻擊者必須入侵服務器。如果攻擊的黑客技術高到可以直接侵入你的服務器、進入內部網絡，那他完全可以直接將內部數據放到暗網拍賣，又何必要閑著沒事發封勒索軟件給你，難道就是為了炫耀么?這個組織大概只是想發發這種新的威脅郵件，來嚇唬一下受害者。

支付還是拒付，這是一個問題

9月份Delport收到勒索郵件之后，IBTimes(International Business Times)還為她做了一個專訪。Delport在采訪中回應，沒有要付贖金的打算。這家媒體還提到了另外一個收到勒索郵件的受害人，一位叫做Michael O’Connor的職業音樂家，他的選擇是直接將郵件上傳到英國警方的防欺詐網站上。

如果去查下勒索信里的比特幣賬戶，就會發現還沒有任何贖金的支付記錄。

我們的建議是，一旦網站的負責人收到類似的郵件，可以尋求DDoS緩解服務的幫助，畢竟不怕一萬，只怕萬一。從執法機關的角度來說，無論是在現實生活中還是在網絡上，這種勒索要求贖金的案件都是最好不要支付贖金，不要滿足勒索者的要求。

像是Delport的情況，攻擊者就沒能像他們威脅的那樣對她的網站發起DDoS攻擊。下面就是勒索郵件的完整內容。