勒索軟件之王LockBit遭受毀滅性打擊

據(jù)悉,多國執(zhí)法部門的調(diào)查始于2022年4月,應(yīng)法國當局的要求在歐洲司法局啟動。歐洲刑警組織(Europol)在一份聲明中表示:“為期數(shù)月的行動最終成功搗毀了LockBit組織犯罪活動所依賴的主要平臺和其他關(guān)鍵基礎(chǔ)設(shè)施?!?

640 (1).png

本文來自微信公眾號“GoUpSec”。

2024年2月20日,美國、法國、英國等國執(zhí)法機構(gòu)聯(lián)手對頭號勒索軟件組織LockBit展開了大規(guī)模清剿,這個代號“克羅諾斯行動”(OperationCronos)的執(zhí)法活動取得了以下成果:

逮捕:兩名LockBit運營者在波蘭和烏克蘭被捕。

扣押:執(zhí)法部門扣押了超過200個加密錢包,這些錢包可能包含受害者支付的勒索金。

解密:執(zhí)法部門從查獲的LockBit服務(wù)器中獲取了超過1,000個解密密鑰,并使用這些密鑰開發(fā)了一個免費的解密工具,供受害者恢復(fù)加密文件。

接管:查獲了LockBit的服務(wù)器和基礎(chǔ)設(shè)施,接管了其數(shù)據(jù)泄露站點用于發(fā)布解密工具和懸賞通知。

起訴:法國和美國司法當局針對其他LockBit威脅行為者發(fā)出了三份國際逮捕令和五項起訴書。

協(xié)調(diào):此次全球行動由“克羅諾斯行動”(Operation Cronos)協(xié)調(diào),該行動由英國國家犯罪局(NCA)領(lǐng)導(dǎo),并在歐洲由歐洲刑警組織和歐洲司法局協(xié)調(diào)。

據(jù)悉,多國執(zhí)法部門的調(diào)查始于2022年4月,應(yīng)法國當局的要求在歐洲司法局啟動。歐洲刑警組織(Europol)在一份聲明中表示:“為期數(shù)月的行動最終成功搗毀了LockBit組織犯罪活動所依賴的主要平臺和其他關(guān)鍵基礎(chǔ)設(shè)施。”

據(jù)安全研究機構(gòu)vxground報道,執(zhí)法機構(gòu)已經(jīng)控制了LockBit的管理平臺,并獲取了聯(lián)盟組織的信息,包括源代碼、攻擊受害者詳細信息、勒索金額、被盜數(shù)據(jù)、聊天記錄等;目前LockBit聯(lián)盟組織成員登錄平臺面板時,將會看到執(zhí)法機構(gòu)要求其自首的通知:

640 (1).png

此外,執(zhí)法部門宣布查獲了34臺LockBit服務(wù)器,這些服務(wù)器位于荷蘭、德國、芬蘭、法國、瑞士、澳大利亞、美國和英國。歐洲刑警組織表示,這些服務(wù)器現(xiàn)在由執(zhí)法部門控制,共計超過1.4萬個惡意賬戶已被識別并被執(zhí)法部門下令移除。這些惡意帳戶被LockBit成員用來托管攻擊中使用的工具和軟件,并存儲從公司竊取的數(shù)據(jù)。

根據(jù)vx-underground的推文,絕大多數(shù)LockBit的暗網(wǎng)站點(約22個)都已被執(zhí)法機構(gòu)接管,并用于發(fā)布執(zhí)法通告(下圖):

640 (1).png

作為克羅諾斯行動的一部分,執(zhí)法部門從被扣押的LockBit服務(wù)器中獲取了1000多個解密密鑰?;谶@些解密密鑰,日本警方、英國國家犯罪局(NCA)和聯(lián)邦調(diào)查局(FBI)在歐洲刑警組織的支持下開發(fā)了LockBit 3.0勒索軟件解密工具。受害者現(xiàn)在可以通過“NoMoreRansom”門戶(https://www.nomoreransom.org/en/index.html)獲得此免費解密器。

640 (1).png

LockBit的暗網(wǎng)數(shù)據(jù)泄露站點也被執(zhí)法者接管并用于發(fā)布解密工具和執(zhí)法動態(tài)(上圖)。

LockBit啟動事件調(diào)查和應(yīng)急響應(yīng)措施

歐洲刑警組織表示,他們已經(jīng)收集了有關(guān)LockBit組織犯罪行動的“大量”數(shù)據(jù),這些數(shù)據(jù)將用于針對該組織領(lǐng)導(dǎo)人及其開發(fā)者和聯(lián)盟組織的持續(xù)行動,旨在將LockBit犯罪組織一網(wǎng)打盡,斬草除根。

但現(xiàn)在斷言LockBit勒索軟件組織將被徹底剿滅還為時過早,因為歷史上大型僵尸網(wǎng)絡(luò)和勒索軟件組織成功反圍剿,死灰復(fù)燃卷土重來的案例有很多,包括LockBit3.0自身已經(jīng)是第二次“復(fù)活”。

在本周二發(fā)送給聯(lián)盟組織的事件通報電子郵件中(下圖),LockBit運營者表現(xiàn)得非常鎮(zhèn)靜和專業(yè),聲稱在發(fā)現(xiàn)數(shù)據(jù)泄露后立刻聯(lián)合網(wǎng)絡(luò)安全專家啟動了事件調(diào)查和應(yīng)急響應(yīng)措施。

640 (1).png

LockBit還在郵件中敦促附屬機構(gòu)加強安全措施,防止類似數(shù)據(jù)泄露事故再次發(fā)生。LockBit建議附屬機構(gòu)采取以下緩解和加固措施:

●重置LockBit賬戶密碼。

●啟用MFA多因素認證。

●監(jiān)控賬戶,留意賬戶狀態(tài)和信用報告中的異?;顒?。

關(guān)于“勒索軟件之王”LockBit

拳打工商銀行、手撕波音公司,LockBit是2019年以來的最危險和最多產(chǎn)的勒索軟件組織(沒有之一),令各國政府和財富500強公司夜不能寐。該組織采用勒索軟件即服務(wù)(RaaS)運營模式,對各種組織發(fā)動攻擊,包括企業(yè)、政府機構(gòu)和醫(yī)療組織。

LockBit的創(chuàng)始人是一個營銷和商業(yè)天才,甚至有圈內(nèi)人士稱其為“勒索軟件行當?shù)膯滩妓?rdquo;。舉一個簡單的例子,LockBit對其勒索軟件攻擊活動的定義是:“后付費的滲透測試服務(wù)”。

不可否認,LockBit這套“婊牌兼立”的價值觀確實讓很多市場營銷人員直呼內(nèi)行,但這絕不是LockBit讓業(yè)界為之膽寒的真正原因。

LockBit的成功之處可以概括為三點:

●商業(yè)模式(RaaS)創(chuàng)新

●研發(fā)的敏捷化

●遠離地緣政治

LockBit宣稱自己是全球唯一一個不經(jīng)手加盟組織贖金的RaaS聯(lián)盟項目(LockBit的傭金提成約為贖金的25%),所有其他勒索軟件聯(lián)盟項目都會要求合作伙伴先將贖金支付轉(zhuǎn)入自己的錢包,然后再向合作伙伴支付其份額,一旦RaaS項目運營者卷款跑路,其“合作伙伴”將蒙受巨大損失,例如DarkSide項目。

此外,LockBit創(chuàng)始人將自己標榜為遠離地緣政治的“道德黑客”,在接受RHC采訪時,他厚顏無恥地聲稱:“這是我個人的世界觀,我反對戰(zhàn)爭和流血事件,我們是普通的滲透測試人員,讓這個世界更安全,多虧了我們,公司可以學(xué)到安全課程并修復(fù)漏洞。Conti及其重組的BlackBasta是政治黑客,他們工作是為了摧毀基礎(chǔ)設(shè)施,只是為了對公司造成最大的損害。而我們,反過來,使全世界的公司受益,讓它們更安全、更穩(wěn)固。”

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論