全球最为猖獗的勒索组织LockBit遭到执法部门打击，或将取缔

01

英方宣称重创LockBit勒索软件组织

2024年2月20日，英国国家犯罪局（NCA)发布消息称，在国际多部门的联合执法下，开展了代号为“克洛诺斯行动”的专项工作，日前重创了LockBit勒索软件组织，对该组织及其附属机构造成了灾难性的打击。

目前，LockBit 勒索软件组织Tor域名显示了宣布执法机构执行活动的网页。它以 LockBit格式展示，表明他们可以完全控制LockBit勒索软件组织的基础设施。

执法机构还表示，已经抓捕了2名LockBit勒索组织成员，并冻结200多个相关加密货币账号。他们关闭了荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务，从扣押的基础设施中获取了1000多个密钥，得以帮助受害者恢复受影响的系统。此外透露，他们将在本周内陆续发布有关LockBit组织的更多情报。

02

LockBit犯罪记录盘点

LockBit是世界上最为活跃的勒索组织，已针对2000多名受害者发起过攻击，提出总计数亿美元的赎金要求，并已收到超过1.2亿美元的赎金付款。

LockBit最早在2019年以勒索及服务的运营模式出现，其中加密器被授权给附属公司，这些附属公司实施攻击，以换取赎金收益的一部分。

该组织一直积极实施勒索攻击活动，发起了包括针对波音公司、英国皇家邮政等在内的众多重大勒索攻击事件。

LockBit在全球范围内勒索攻击活动频繁，影响广泛，众多大型跨国企业和政府部门都受到波及。

以下是我们整理的部分2023年以来的重大攻击事件和目标：

1、2023年1月，LockBit攻击了英国皇家邮政，迫使迫使国际邮政服务陷入停摆。

2、2023年2月，全球电源产品制造商Phihong遭到LockBit勒索攻击，要求受害者支付50万美元的赎金。

3、2023年6月，LockBit宣称入侵了全球半导体制造巨头台积电的供应商，向其索要高达7000万美元的巨额赎金。

4、2023年7月，日本最大港口名古屋港口码头遭到LockBit的攻击，所有集装箱码头运营均已中断。

5、2023年10月，LockBit向全球知名IT解决方案供应商CDW所要8000万美元的赎金。

6、2023年11月，LockBit窃取并公布了美国波音公司43GB内部数据。

7、2024年1月，LockBit 勒索软件组织声称对2023年11月美国Capital Health保健公司的网络攻击负责，并威胁泄露被盗数据和谈判聊天记录。

8、2024年2月，LockBit声称勒索软件袭击了佐治亚州富尔顿县，并发布25个屏幕截图，证明他们已访问该县的系统并窃取了敏感数据。

03

执法行动复盘

2月20日，英国国家犯罪局（NCA)在其官网上公布他们查封了LockBit的Tor网站并获取了一系列基础设施和情报。

克洛诺斯行动占据LockBit在暗网的博客网站后，在其页面上显示了多个与LockBit以往类似的标志性风格图案，例如在展示相关执法部门的信息，以及网页加载动画，甚至在受害者信息中标记LockBit管理员Lockbitsupp，极显嘲讽意味和胜利姿态。

LockBit暗网博客目前的主页

博客子页面

公布获取的源代码、管理面板截图

日本警方、NCA 和联邦调查局 (FBI) 在欧洲刑警组织的支持下开发了 LockBit3.0勒索软件解密工具，但尚未透露该工具的适用范围。

英美等政府的执法部门将在本周内陆续发布掌握的LockBit情报信息，目前透露的情报汇总主要如下：

1.   英国NCA公布了 Lockbit 后端的敏感信息：管理面板、博客后端和博客源码等

2.   美国政府公布了对与 Lockbit 勒索软件组织有关的两名个人的起诉：Artur Sungatov 和 Ivan Kondratyev

3.   执法部门联合日本合作伙伴发布了Lockbit解密工具

4.   在波兰和乌克兰共逮捕了2名LockBit组织成员

5.   执法部门于2024年2月21日公布有关 Lockbit 的 StealBit 数据泄露工具的信息

6.   执法部门于2024年2月21日公布 Lockbit 附属基础设施

7.   执法部门与SecureWorks 将于2024年2月22日披露有关 Lockbit tradecraft 的信息

8. 执法机构将于2024年2月23日公布有关 Lockbit 加密货币和货币运营的敏感信息

9. 执法部门计划于2024年2月23日公布 Lockbit 勒索软件组织管理机构的身份

04

思考总结

过去一年，已有一些勒索组织如Hive、Ragnar Locker、BlackCat受到了破坏甚至取缔，一系列行动鼓舞并振奋了网络犯罪执法的信心。此次针对LockBit的执法行动对勒索攻击等网络犯罪活动是一次强有力的威慑，具有重大意义。

然而，勒索攻击的态势并未消减。一些新兴勒索组织，例如AKira、Rhysida相继崛起，使得整体威胁格局更加错综复杂。

同时，一个庞大勒索组织的彻底瓦解是长期持续对抗的结果，在该过程中可能孕育出新的犯罪团伙，例如此前的conti勒索组织消亡后出现了多个新的勒索团伙分支，表明斗争形势依然严峻。

在面对勒索攻击等网络威胁时，打击和防御需同步进行。这次行动的成功将有助于加强全球网络安全体系，确保网络空间的安全和稳定。