信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

2024年2月20日，美國、法國、英國等國執(zhí)法機構(gòu)聯(lián)手對頭號勒索軟件組織LockBit展開了大規(guī)模清剿，這個代號“克羅諾斯行動”（OperationCronos）的執(zhí)法活動取得了以下成果：

逮捕：兩名LockBit運營者在波蘭和烏克蘭被捕。

扣押：執(zhí)法部門扣押了超過200個加密錢包，這些錢包可能包含受害者支付的勒索金。

解密：執(zhí)法部門從查獲的LockBit服務(wù)器中獲取了超過1,000個解密密鑰，并使用這些密鑰開發(fā)了一個免費的解密工具，供受害者恢復(fù)加密文件。

接管：查獲了LockBit的服務(wù)器和基礎(chǔ)設(shè)施，接管了其數(shù)據(jù)泄露站點用于發(fā)布解密工具和懸賞通知。

起訴：法國和美國司法當局針對其他LockBit威脅行為者發(fā)出了三份國際逮捕令和五項起訴書。

協(xié)調(diào)：此次全球行動由“克羅諾斯行動”（Operation Cronos）協(xié)調(diào)，該行動由英國國家犯罪局(NCA)領(lǐng)導(dǎo)，并在歐洲由歐洲刑警組織和歐洲司法局協(xié)調(diào)。

據(jù)悉，多國執(zhí)法部門的調(diào)查始于2022年4月，應(yīng)法國當局的要求在歐洲司法局啟動。歐洲刑警組織（Europol）在一份聲明中表示：“為期數(shù)月的行動最終成功搗毀了LockBit組織犯罪活動所依賴的主要平臺和其他關(guān)鍵基礎(chǔ)設(shè)施。”

據(jù)安全研究機構(gòu)vxground報道，執(zhí)法機構(gòu)已經(jīng)控制了LockBit的管理平臺，并獲取了聯(lián)盟組織的信息，包括源代碼、攻擊受害者詳細信息、勒索金額、被盜數(shù)據(jù)、聊天記錄等；目前LockBit聯(lián)盟組織成員登錄平臺面板時，將會看到執(zhí)法機構(gòu)要求其自首的通知：

此外，執(zhí)法部門宣布查獲了34臺LockBit服務(wù)器，這些服務(wù)器位于荷蘭、德國、芬蘭、法國、瑞士、澳大利亞、美國和英國。歐洲刑警組織表示，這些服務(wù)器現(xiàn)在由執(zhí)法部門控制，共計超過1.4萬個惡意賬戶已被識別并被執(zhí)法部門下令移除。這些惡意帳戶被LockBit成員用來托管攻擊中使用的工具和軟件，并存儲從公司竊取的數(shù)據(jù)。

根據(jù)vx-underground的推文，絕大多數(shù)LockBit的暗網(wǎng)站點（約22個）都已被執(zhí)法機構(gòu)接管，并用于發(fā)布執(zhí)法通告（下圖）：

作為克羅諾斯行動的一部分，執(zhí)法部門從被扣押的LockBit服務(wù)器中獲取了1000多個解密密鑰?；谶@些解密密鑰，日本警方、英國國家犯罪局（NCA）和聯(lián)邦調(diào)查局(FBI)在歐洲刑警組織的支持下開發(fā)了LockBit 3.0勒索軟件解密工具。受害者現(xiàn)在可以通過“NoMoreRansom”門戶（https://www.nomoreransom.org/en/index.html）獲得此免費解密器。

LockBit的暗網(wǎng)數(shù)據(jù)泄露站點也被執(zhí)法者接管并用于發(fā)布解密工具和執(zhí)法動態(tài)（上圖）。

LockBit啟動事件調(diào)查和應(yīng)急響應(yīng)措施

歐洲刑警組織表示，他們已經(jīng)收集了有關(guān)LockBit組織犯罪行動的“大量”數(shù)據(jù)，這些數(shù)據(jù)將用于針對該組織領(lǐng)導(dǎo)人及其開發(fā)者和聯(lián)盟組織的持續(xù)行動，旨在將LockBit犯罪組織一網(wǎng)打盡，斬草除根。

但現(xiàn)在斷言LockBit勒索軟件組織將被徹底剿滅還為時過早，因為歷史上大型僵尸網(wǎng)絡(luò)和勒索軟件組織成功反圍剿，死灰復(fù)燃卷土重來的案例有很多，包括LockBit3.0自身已經(jīng)是第二次“復(fù)活”。

在本周二發(fā)送給聯(lián)盟組織的事件通報電子郵件中（下圖），LockBit運營者表現(xiàn)得非常鎮(zhèn)靜和專業(yè)，聲稱在發(fā)現(xiàn)數(shù)據(jù)泄露后立刻聯(lián)合網(wǎng)絡(luò)安全專家啟動了事件調(diào)查和應(yīng)急響應(yīng)措施。

LockBit還在郵件中敦促附屬機構(gòu)加強安全措施，防止類似數(shù)據(jù)泄露事故再次發(fā)生。LockBit建議附屬機構(gòu)采取以下緩解和加固措施：

●重置LockBit賬戶密碼。

●啟用MFA多因素認證。

●監(jiān)控賬戶，留意賬戶狀態(tài)和信用報告中的異?；顒?。

關(guān)于“勒索軟件之王”LockBit

拳打工商銀行、手撕波音公司，LockBit是2019年以來的最危險和最多產(chǎn)的勒索軟件組織（沒有之一），令各國政府和財富500強公司夜不能寐。該組織采用勒索軟件即服務(wù)(RaaS)運營模式，對各種組織發(fā)動攻擊，包括企業(yè)、政府機構(gòu)和醫(yī)療組織。

LockBit的創(chuàng)始人是一個營銷和商業(yè)天才，甚至有圈內(nèi)人士稱其為“勒索軟件行當?shù)膯滩妓?rdquo;。舉一個簡單的例子，LockBit對其勒索軟件攻擊活動的定義是：“后付費的滲透測試服務(wù)”。

不可否認，LockBit這套“婊牌兼立”的價值觀確實讓很多市場營銷人員直呼內(nèi)行，但這絕不是LockBit讓業(yè)界為之膽寒的真正原因。

LockBit的成功之處可以概括為三點：

●商業(yè)模式（RaaS）創(chuàng)新

●研發(fā)的敏捷化

●遠離地緣政治

LockBit宣稱自己是全球唯一一個不經(jīng)手加盟組織贖金的RaaS聯(lián)盟項目（LockBit的傭金提成約為贖金的25%），所有其他勒索軟件聯(lián)盟項目都會要求合作伙伴先將贖金支付轉(zhuǎn)入自己的錢包，然后再向合作伙伴支付其份額，一旦RaaS項目運營者卷款跑路，其“合作伙伴”將蒙受巨大損失，例如DarkSide項目。

此外，LockBit創(chuàng)始人將自己標榜為遠離地緣政治的“道德黑客”，在接受RHC采訪時，他厚顏無恥地聲稱：“這是我個人的世界觀，我反對戰(zhàn)爭和流血事件，我們是普通的滲透測試人員，讓這個世界更安全，多虧了我們，公司可以學(xué)到安全課程并修復(fù)漏洞。Conti及其重組的BlackBasta是政治黑客，他們工作是為了摧毀基礎(chǔ)設(shè)施，只是為了對公司造成最大的損害。而我們，反過來，使全世界的公司受益，讓它們更安全、更穩(wěn)固。”