文章总结： 2026年1月RAMP论坛查封事件破坏了地下信任并加速生态碎片化。攻击者转向T1erOne等封闭高门槛平台及Rehub等开放论坛，显示适应而非衰落。防御者面临集中可见性下降挑战，需追踪多平台迁移与招募信号。结论指出执法行动仅重塑而非瓦解生态系统，组织应调整情报策略以保持优势。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全大事件,安全运营

RAMP 之后时代：指控、分裂与勒索软件地下世界的重建

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月26日 09:33 北京

执行摘要

2026年1月对RAMP的查封摧毁了一个重要的勒索软件协调中心，但并未瓦解其背后的生态系统。相反，它破坏了地下世界的信任，并加速了其碎片化。

勒索软件攻击者并没有集中力量于单一平台，而是分散在T1erOne等封闭平台和Rehub等开放论坛上。这种转变反映的是适应，而非衰落。

对于防御者而言，集中协调的可见性正在下降。监测必须超越追踪单个论坛，转向识别行动者的迁移、招募信号以及重组的早期迹象。颠覆很少会彻底摧毁生态系统，它只会重塑生态系统。能够相应调整情报策略的组织将更有利于保持领先地位。

概述

RAMP中断的剖析

自2021年活跃以来，RAMP（勒索软件和高级恶意软件防护）论坛已成为网络犯罪生态系统中的一个重要枢纽，尤其受到勒索软件运营者及其关联人员的青睐，他们在此协调攻击、共享工具并交易对被入侵网络的访问权限。2026年1月28日，美国联邦调查局（FBI）联合佛罗里达州南区联邦检察官办公室和美国司法部（DoJ）计算机犯罪和知识产权部门，查封了该论坛的基础设施（图1）。

虽然公众报道主要集中在执法行动上，但地下的反应揭示了一个更深层次、影响更大的发展：勒索软件社区内部信任的崩溃和日益加剧的分裂。

图 1 – RAMP 域上的查封通知

不久之后，RAMP的管理员“Stallman”在网络犯罪论坛XSS和Exploit上证实了此次查封事件，并表示他不会尝试重建该网站（图2）。这一消息立即引发了热议。一些用户质疑此次查封是否是事先安排好的，或者只是“公关秀”，而另一些用户则指责Stallman与当局合作。随后，RAMP的域名服务器被发现指向由FBI控制的基础设施，证实了美国执法部门的查封行动。

图 2 – Stallman 关于 XSS 的帖子

公告发布后，一些据称显示了 RAMP 数据库部分内容的截图通过 Telegram 传播，并在地下论坛上被转发（图 3）。这些图片据称包含用户电子邮件地址和私人消息。几位 RAMP 前成员公开承认，泄露数据中的部分内容似乎是真实的，并表示担心注册邮件、私人通信或操作细节可能会被曝光，并可能在调查中被利用。

图 3 – 疑似 RAMP 泄露的屏幕截图

斯托曼否认发生了任何安全漏洞，声称论坛的磁盘已加密，并且流传的屏幕截图是伪造的。

尽管各方说法不一，但地下讨论最终都围绕着两种主要情景展开：

• 情景 A：先前违规

• 数据库在执法部门查封之前就已经被窃取，随后的查封行动与泄露事件无关。

• 方案 B：内部人员访问

• 具有管理权限的个人在查封过程之前或期间导出了数据库。

目前尚未达成明确共识。然而，根据以往论坛查封事件中观察到的行为模式以及相关的技术实际情况，查封前访问数据库似乎是合理的。即使数据库经过加密，静态保护也无法阻止系统运行时的数据提取。

另有未经证实的指控称，斯托曼曾试图以 10 个比特币的价格出售该数据库，但这些说法仍未得到证实。

此次泄露事件，加上有关选择性审核和规则执行不一致的指控，加剧了人们对 RAMP 可能被用作蜜罐或在被查封前很久就已被攻破的猜测。虽然没有公开证据证实 RAMP 是故意设下陷阱诱捕执法部门的，但在地下生态系统中，舆论往往比证据更重要。因此，蜜罐的说法本身会加速勒索软件平台的碎片化，并促使其向规模更小、管控更严格的平台转变。

随着 RAMP 的关闭，官方并未宣布任何替代方案，论坛用户迅速开始讨论其他选择。一些人认为 XSS 应该重新考虑其对勒索软件相关活动的禁令。XSS 管理员重申，勒索软件联盟成员的招募仍然被禁止，这可能是为了避免引起执法部门的密切关注。这引发了关于该论坛长期定位的讨论，以及它是否会维持现有政策立场，还是会做出调整以填补 RAMP 留下的空白。

这种从中心化发展到突然中断，再到迁移到替代平台的循环，与以往地下论坛被关闭后出现的模式如出一辙。当一个主导论坛倒闭时，最直接的影响是分裂和猜忌。在缺乏可信赖的中心市场的情况下，参与者会暂时分散，讨论各种妥协方案，并尝试新的治理模式。随着时间的推移，规模较小、经过审核的社区会逐渐出现，通过更高的准入门槛和更严格的管理来重建信任。

一个显著的先例是网络犯罪交易平台 RaidForums 于 2022 年关闭，随后 BreachForums 崛起，作为其继任平台，BreachForums 继承了 RaidForums 的大部分用户群，并延续了许多相同的讨论和交易。RAMP 的遭遇似乎也遵循着类似的轨迹，这表明协调并非终结，而是协调方式和地点的重组。

T1erOne 登场：潜在的继任者

RAMP 的瓦解所留下的真空恰逢 T1erOne 在 2 月初的出现。T1erOne 是一个封闭式论坛，采用基于声誉和付费的准入模式。会员资格要求要么在其他地下论坛上拥有经过验证的活跃度，要么支付 450 美元，强调其排他性和信任审查（图 4）。这种结构旨在降低渗透或泄露的风险，是对 RAMP 泄密事件的直接回应。

图 4 – T1erOne 注册

T1erOne 的模式与 RAMP 之前的运作方式更为一致。该论坛明确要求用户提供在其他主要地下论坛的活跃证明或支付注册费，以过滤掉渗透者和低信任度用户。虽然这种相似性并不能证明 T1erOne 是 RAMP 的直接继承者，但从结构上看，这确实是一个 RAMP 老用户试图复制的模式。

虽然封闭式付费论坛并非新鲜事物，但它们在一次备受瞩目的查封事件后立即出现，表明这是一种防御性适应。通过提高经济和声誉门槛，管理员既降低了渗透风险，又向高价值参与者表明了其严肃性。如果历史模式持续下去，下一阶段很可能是规模较小的可信参与者群体围绕经过审核的空间聚集，并通过推荐而非公开帖子进行招募。这会降低可见性，但会增强运营凝聚力。

尽管截至撰稿时关于该论坛的信息有限，但它明确宣传提供勒索软件服务，这表明其意图是填补 RAMP 在网络犯罪生态系统中留下的空白（图 5）。T1erOne 公开宣称允许使用勒索软件，这使其与 XSS 或 Exploit 等明确禁止讨论或策划勒索软件行动的论坛区别开来。这向网络犯罪分子表明，T1erOne 是一个可以进行勒索软件相关活动的安全空间。

图 5 – T1erOne 勒索软件广告

早期来自地下讨论的迹象表明，勒索软件联盟计划已在论坛的推广帖子中被提及，这暗示联盟成员可能正在评估 T1erOne 作为潜在的协调中心。值得注意的是，勒索软件组织麒麟似乎已在该平台上建立了早期影响力，并积极宣传其勒索软件即服务 (RaaS) 产品，以吸引新的联盟成员（图 6）。此外，还有消息称 Cry0 勒索软件组织也在 T1erOne 上活动。然而，截至撰写本文时，这两个组织均未在其已知的沟通渠道上公开提及该论坛，这可能表明他们的活动仍处于探索阶段，或仅限于封闭的招募活动，而非已正式迁移至该平台。

图 6 – 麒麟 RaaS 在 T1erOne 上的广告

T1erOne 的品牌推广不仅仅是在宣传勒索软件；它还标志着一种旨在填补网络犯罪市场空白的运营模式的延续。对于防御者而言，这凸显了一个关键现实：关闭一个公共勒索软件论坛很少能真正终结其行动；它只会改变行动发生的地点和方式。威胁行为者会迁移到规模更小、管控更严格的社群，在这些社群中，类似的协调机制依然存在，但透明度降低，监控门槛更高。在这种环境下，破坏并不一定能转化为威慑。相反，它会促使生态系统重组为更紧密、更具韧性的集群，从而在保障威胁行为者行动连续性的同时，降低防御者的可见性。

Rehub：迁移到现有开放论坛

与 T1erOne 的出现同步，在 Rehub 上也观察到了勒索软件活动。Rehub 是一个地下论坛，其历史早于 RAMP 的关闭（图 7）。域名记录显示，该平台自 2025 年 8 月以来一直活跃，这表明它并非直接为了应对 RAMP 的破坏而创建。然而，其近期的活动表明，它正在吸收至少一部分被 RAMP 取代的生态系统。

图 7 – Rehub 信息流的屏幕截图

与 T1erOne 不同，Rehub 并非封闭式或基于声誉的社区。注册仅需用户名、密码以及一个基本安全问题的答案，准入门槛大大降低。这种低门槛与 T1erOne 的付费或基于声誉的审核模式形成鲜明对比。

Rapid7 的研究人员独立证实，多个勒索软件组织已在该平台上活跃。值得注意的是，LockBit 和 Gentlemen 自 2025 年 9 月起就一直在 Rehub 上活动，远早于 RAMP 被查封的时间。与此同时，DragonForce 在 RAMP 被关闭的同一天加入了该论坛（图 8）。该论坛包含大量公开宣传或讨论勒索软件即服务 (RaaS) 的帖子（图 9）。

图 8 – DragonForce 在 Rehub 上的个人资料

图 9 – 男士 RaaS 广告

Rehub的活动表明，RAMP项目中断后的移民潮并非仅限于新建立的封闭社区。相反，一些参与者似乎正在利用原有的、门槛较低的平台继续进行协调和招募工作。

总而言之，T1erOne 和 Rehub 的案例表明，颠覆性变革后的生态系统很少会立即围绕单一的继任者汇合。相反，它们会在长期整合出现之前，分散到多个并行的协调空间中。

结论：碎片化，而非终结

RAMP计划实施后的局面再次印证了一个熟悉的现实：执法部门可以拆除基础设施，但很少能瓦解其背后的生态系统。相反，这种破坏会瓦解信任，并将协调工作重新分配到多个平台之间。

最终出现的并非单一的继承者，而是不同的迁移路径。像T1erOne这样的封闭式论坛体现了一种试图通过排他性、更严格的审查和更高的准入门槛来重建信任的尝试。与此同时，像Rehub这样的平台表明，一些勒索软件攻击者正在利用现有的、易于访问的论坛来维持运营的连续性和招募势头。这种碎片化表明的是适应而非衰落。在危机过后，分散而非整合似乎是主要的趋势。

对防御者而言，这种转变使可见性变得更加复杂。监控策略不能再仅仅关注单一的主导平台。相反，安全团队必须追踪攻击者在多个环境中的迁移模式，识别早期 RaaS 招募信号，并将地下活动与入侵活动关联起来。随着协调活动在封闭平台和开放平台上蔓延，上下文相关的及时情报变得至关重要。

在 Rapid7，我们持续监控地下生态系统，以便在勒索软件攻击规模扩大之前，发现其迁移趋势、新兴的协调空间以及联盟成员行为的变化。通过将深度威胁情报与一线事件响应经验相结合，我们帮助企业即使在勒索软件协调活动变得更加分散和难以预测的情况下，也能保持对局势的敏锐洞察。

RAMP的倒闭造成了实质性的破坏，但并不构成威慑。随着封闭平台和开放平台生态系统的重组，防御者必须迅速调整策略才能保持优势。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《RAMP 之后时代：指控、分裂与勒索软件地下世界的重建》