01
英方宣称重创LockBit勒索软件组织
2024年2月20日,英国国家犯罪局(NCA)发布消息称,在国际多部门的联合执法下,开展了代号为“克洛诺斯行动”的专项工作,日前重创了LockBit勒索软件组织,对该组织及其附属机构造成了灾难性的打击。
目前,LockBit 勒索软件组织Tor域名显示了宣布执法机构执行活动的网页。它以 LockBit格式展示,表明他们可以完全控制LockBit勒索软件组织的基础设施。
执法机构还表示,已经抓捕了2名LockBit勒索组织成员,并冻结200多个相关加密货币账号。他们关闭了荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务,从扣押的基础设施中获取了1000多个密钥,得以帮助受害者恢复受影响的系统。此外透露,他们将在本周内陆续发布有关LockBit组织的更多情报。
02
LockBit犯罪记录盘点
LockBit是世界上最为活跃的勒索组织,已针对2000多名受害者发起过攻击,提出总计数亿美元的赎金要求,并已收到超过1.2亿美元的赎金付款。
LockBit最早在2019年以勒索及服务的运营模式出现,其中加密器被授权给附属公司,这些附属公司实施攻击,以换取赎金收益的一部分。
该组织一直积极实施勒索攻击活动,发起了包括针对波音公司、英国皇家邮政等在内的众多重大勒索攻击事件。
LockBit在全球范围内勒索攻击活动频繁,影响广泛,众多大型跨国企业和政府部门都受到波及。
以下是我们整理的部分2023年以来的重大攻击事件和目标:
1、2023年1月,LockBit攻击了英国皇家邮政,迫使迫使国际邮政服务陷入停摆。
2、2023年2月,全球电源产品制造商Phihong遭到LockBit勒索攻击,要求受害者支付50万美元的赎金。
3、2023年6月,LockBit宣称入侵了全球半导体制造巨头台积电的供应商,向其索要高达7000万美元的巨额赎金。
4、2023年7月,日本最大港口名古屋港口码头遭到LockBit的攻击,所有集装箱码头运营均已中断。
5、2023年10月,LockBit向全球知名IT解决方案供应商CDW所要8000万美元的赎金。
6、2023年11月,LockBit窃取并公布了美国波音公司43GB内部数据。
7、2024年1月,LockBit 勒索软件组织声称对2023年11月美国Capital Health保健公司的网络攻击负责,并威胁泄露被盗数据和谈判聊天记录。
8、2024年2月,LockBit声称勒索软件袭击了佐治亚州富尔顿县,并发布25个屏幕截图,证明他们已访问该县的系统并窃取了敏感数据。
03
执法行动复盘
2月20日,英国国家犯罪局(NCA)在其官网上公布他们查封了LockBit的Tor网站并获取了一系列基础设施和情报。
克洛诺斯行动占据LockBit在暗网的博客网站后,在其页面上显示了多个与LockBit以往类似的标志性风格图案,例如在展示相关执法部门的信息,以及网页加载动画,甚至在受害者信息中标记LockBit管理员Lockbitsupp,极显嘲讽意味和胜利姿态。
LockBit暗网博客目前的主页
博客子页面
公布获取的源代码、管理面板截图
日本警方、NCA 和联邦调查局 (FBI) 在欧洲刑警组织的支持下开发了 LockBit3.0勒索软件解密工具,但尚未透露该工具的适用范围。
英美等政府的执法部门将在本周内陆续发布掌握的LockBit情报信息,目前透露的情报汇总主要如下:
1. 英国NCA公布了 Lockbit 后端的敏感信息:管理面板、博客后端和博客源码等
2. 美国政府公布了对与 Lockbit 勒索软件组织有关的两名个人的起诉:Artur Sungatov 和 Ivan Kondratyev
3. 执法部门联合日本合作伙伴发布了Lockbit解密工具
4. 在波兰和乌克兰共逮捕了2名LockBit组织成员
5. 执法部门于2024年2月21日公布有关 Lockbit 的 StealBit 数据泄露工具的信息
6. 执法部门于2024年2月21日公布 Lockbit 附属基础设施
7. 执法部门与SecureWorks 将于2024年2月22日披露有关 Lockbit tradecraft 的信息
8. 执法机构将于2024年2月23日公布有关 Lockbit 加密货币和货币运营的敏感信息
9. 执法部门计划于2024年2月23日公布 Lockbit 勒索软件组织管理机构的身份
04
思考总结
过去一年,已有一些勒索组织如Hive、Ragnar Locker、BlackCat受到了破坏甚至取缔,一系列行动鼓舞并振奋了网络犯罪执法的信心。此次针对LockBit的执法行动对勒索攻击等网络犯罪活动是一次强有力的威慑,具有重大意义。
然而,勒索攻击的态势并未消减。一些新兴勒索组织,例如AKira、Rhysida相继崛起,使得整体威胁格局更加错综复杂。
同时,一个庞大勒索组织的彻底瓦解是长期持续对抗的结果,在该过程中可能孕育出新的犯罪团伙,例如此前的conti勒索组织消亡后出现了多个新的勒索团伙分支,表明斗争形势依然严峻。
在面对勒索攻击等网络威胁时,打击和防御需同步进行。这次行动的成功将有助于加强全球网络安全体系,确保网络空间的安全和稳定。