暗網論壇遭查封：全球勒索軟體生態的精準打擊

美國東部時間5月15日，當用戶試圖訪問暗網論壇RAMP時，熟悉的黑色交易界面已被一張官方查封通知取代。通知顯示：聯邦調查局已查封RAMP。一同出現的，還有論壇那句著名的宣傳語——唯一允許討論勒索軟件的地方！，旁邊配上了俄羅斯動畫片《瑪莎和熊》中瑪莎眨眼的諷刺圖像。這次由美國聯邦調查局主導，聯合佛羅里達南區聯邦檢察官辦公室及司法部計算機犯罪與知識產權科的行動，標誌着國際執法力量對俄語網絡犯罪生態的一次關鍵節點打擊。作為2021年後少數仍公開允許推廣勒索軟件業務的頂級暗網市場，RAMP的消失不僅切斷了一個核心的犯罪交流樞紐，更意味着執法機構可能已掌握其背後海量的用戶數據與通信記錄。

一場蓄謀已久的執法行動與技術接管

從技術細節看，這次查封乾淨利落。執法部門不僅控制了RAMP的Tor洋蔥服務地址，還接管了其明網域名ramp4u.io。域名伺服器記錄已切換至FBI在查封行動中慣用的伺服器。這種雙線控制意味著，無論用戶通過哪種方式嘗試訪問，都將直面執法公告。網路安全研究員指出，這種接管方式與以往對類似犯罪論壇（如AlphaBay、Hans Market）的處置如出一轍，是典型的秘密接管、突然公示模式。

關鍵在於數據。論壇管理員Stallman在另一個黑客論壇XSS上發佈的帖子證實了查封，並流露出沮喪：執法部門控制了RAMP論壇……這毀掉了我多年建立‘世界上最自由論壇’的工作。他的擔憂不無道理。一個活躍了近3年的犯罪論壇，其數據庫裡必然存有大量註冊用戶的郵箱、可能洩露的IP地址、私人消息、交易記錄、比特幣錢包地址，甚至內部管理日誌。對於任何操作安全（Opsec）存在疏漏的威脅行為者而言，這些數據都可能成為指向其真實身份的線索。2021年Colonial Pipeline遭DarkSide勒索軟件攻擊後，西方執法壓力劇增，導致Exploit、XSS等主流俄語黑客論壇相繼禁止公開討論勒索軟件。RAMP正是在此背景下，於2021年7月應運而生，迅速填補了市場空白，成為多個勒索軟件團伙招募附屬機構、買賣網絡訪問權限、交流攻擊技術的主要市集。

論壇背後的關鍵人物與混亂起源

RAMP的誕生與一個名為Orange的威脅行為者緊密相連，此人同時使用Wazawaka和BorisElcin等別名。他的真實身份是俄羅斯公民米哈伊爾·馬特維耶夫，這1身份由知名網絡安全記者布萊恩·克雷布斯公開揭露，並得到了馬特維耶夫本人對Recorded Future研究員德米特里·斯米利亞內茨的確認。馬特維耶夫的犯罪履歷堪稱典型：他曾是Babuk勒索軟件團伙的管理員，該團伙在2021年攻擊華盛頓特區大都會警察局後因內部分裂而關閉。分裂的導火索正是關於是否公開洩露竊取的執法數據的內部爭執。數據洩露後，團伙解散。

馬特維耶夫利用Babuk原有的Tor域名和基礎設施，創建了RAMP。他聲稱創辦論壇是為了重新利用Babuk的現有流量和設施，並強調RAMP最終並未盈利，且長期遭受分散式拒絕服務攻擊，因此在論壇獲得人氣後他便逐步淡出管理。然而，官方記錄描繪了另一幅圖景。2023年，美國司法部對馬特維耶夫提起公訴，指控其參與包括Babuk、LockBit、Hive在內的多個勒索軟體行動，這些行動的目標是美國醫療機構、執法部門及其他關鍵基礎設施。同年，美國財政部外國資產控制辦公室對其施加制裁，聯邦調查局將其列入通緝要犯名單，美國國務院更是懸賞高達10,000,000美元，尋求能將其逮捕或定罪的信息。

對全球勒索軟件犯罪生態的連鎖衝擊

RAMP的關閉並非孤立事件，而是國際協同打擊勒索軟件犯罪鏈條中的最新一環。過去兩年，從Hive勒索軟件團夥的基礎設施被滲透瓦解，到LockBit主要管理員被捕、其洩露網站被警方反黑，執法行動正從單純的逮捕個體罪犯，轉向系統性摧毀其賴以生存的線上基礎設施和信任體系。RAMP作為信息中介、人才市場和信譽平台，其功能難以被迅速替代。

分析人士指出，這種打擊產生了多重效果。短期看，它製造了寒蟬效應，迫使活躍的勒索軟體附屬機構轉入更隱蔽、更小眾的通訊渠道，增加了其協作成本和信任風險。中期看，執法機構通過分析查獲的數據，可以繪製出更清晰的犯罪網絡圖譜，可能引發新一輪的全球逮捕行動。長期看，這持續擠壓了勒索軟體即服務模式的生存空間，迫使犯罪模式進化或轉移。然而，挑戰依然存在。核心運營者大多身處與美國沒有引渡條約的司法管轄區，物理抓捕困難重重。只要勒索軟體攻擊帶來的經濟收益依然巨大，就總會有新的論壇在更深的暗處萌芽。

網路執法新時代的攻防邏輯演進

此次行動清晰地展示了現代網絡犯罪執法的策略轉變：從終端抓捕轉向生態破壞。與其耗費數年追蹤一個匿名的加密貨幣地址，不如直接接管其交流平台，獲取一整箇社羣的社交圖譜。這更像一場情報戰。FBI的查封頁面特意使用了RAMP自身的口號和俄羅斯文化符號，這種心理上的嘲諷與威懾，本身就是信息戰的一部分，旨在打擊犯罪社羣的士氣，並公開宣告執法機構的技術能力。

更深層的原因是地緣政治與網絡空間的交織。儘管馬特維耶夫等關鍵人物身處俄羅斯，但RAMP的伺服器基礎設施、域名註冊商、乃至部分用戶不可避免地會與受美國及其盟友司法管轄的數字實體產生交集。這為跨境執法提供了抓手。從戰略角度看，持續打擊這類高調的網絡犯罪平台，既是保護本國關鍵基礎設施的必要之舉，也是在網絡空間確立規則和展示能力的一種方式。對於全球企業而言，RAMP的消失是一個積極信號，但絕非終點。勒索軟件的威脅根源在於其商業模式的無國界暴利，以及全球數字防禦體系的不平衡。只要漏洞存在、贖金被支付，這場在暗網與明網之間進行的貓鼠遊戲就遠未結束。執法部門的每一次重大勝利，都只是新一輪攻防的開始。