2024年2月20日，美國(guó)、法國(guó)、英國(guó)等國(guó)執(zhí)法機(jī)構(gòu)聯(lián)手對(duì)頭號(hào)勒索軟件組織LockBit展開(kāi)了大規(guī)模清剿，這個(gè)代號(hào)“克羅諾斯行動(dòng)”（OperationCronos）的執(zhí)法活動(dòng)取得了以下成果：

• 逮捕：兩名LockBit運(yùn)營(yíng)者在波蘭和烏克蘭被捕。
• 扣押：執(zhí)法部門(mén)扣押了超過(guò)200個(gè)加密錢包，這些錢包可能包含受害者支付的勒索金。
• 解密：執(zhí)法部門(mén)從查獲的LockBit服務(wù)器中獲取了超過(guò)1,000個(gè)解密密鑰，并使用這些密鑰開(kāi)發(fā)了一個(gè)免費(fèi)的解密工具，供受害者恢復(fù)加密文件。
• 接管：查獲了LockBit的服務(wù)器和基礎(chǔ)設(shè)施，接管了其數(shù)據(jù)泄露站點(diǎn)用于發(fā)布解密工具和懸賞通知。
• 起訴：法國(guó)和美國(guó)司法當(dāng)局針對(duì)其他LockBit威脅行為者發(fā)出了三份國(guó)際逮捕令和五項(xiàng)起訴書(shū)。
• 協(xié)調(diào)：此次全球行動(dòng)由“克羅諾斯行動(dòng)”（Operation Cronos）協(xié)調(diào)，該行動(dòng)由英國(guó)國(guó)家犯罪局(NCA)領(lǐng)導(dǎo)，并在歐洲由歐洲刑警組織和歐洲司法局協(xié)調(diào)。

據(jù)悉，多國(guó)執(zhí)法部門(mén)的調(diào)查始于2022年4月，應(yīng)法國(guó)當(dāng)局的要求在歐洲司法局啟動(dòng)。歐洲刑警組織（Europol）在一份聲明中表示：“為期數(shù)月的行動(dòng)最終成功搗毀了LockBit組織犯罪活動(dòng)所依賴的主要平臺(tái)和其他關(guān)鍵基礎(chǔ)設(shè)施?！?/p>

據(jù)安全研究機(jī)構(gòu)vxground報(bào)道，執(zhí)法機(jī)構(gòu)已經(jīng)控制了LockBit的管理平臺(tái)，并獲取了聯(lián)盟組織的信息，包括源代碼、攻擊受害者詳細(xì)信息、勒索金額、被盜數(shù)據(jù)、聊天記錄等；目前LockBit聯(lián)盟組織成員登錄平臺(tái)面板時(shí)，將會(huì)看到執(zhí)法機(jī)構(gòu)要求其自首的通知：

此外，執(zhí)法部門(mén)宣布查獲了34臺(tái)LockBit服務(wù)器，這些服務(wù)器位于荷蘭、德國(guó)、芬蘭、法國(guó)、瑞士、澳大利亞、美國(guó)和英國(guó)。歐洲刑警組織表示，這些服務(wù)器現(xiàn)在由執(zhí)法部門(mén)控制，共計(jì)超過(guò)1.4萬(wàn)個(gè)惡意賬戶已被識(shí)別并被執(zhí)法部門(mén)下令移除。這些惡意帳戶被LockBit成員用來(lái)托管攻擊中使用的工具和軟件，并存儲(chǔ)從公司竊取的數(shù)據(jù)。

根據(jù)vx-underground的推文，絕大多數(shù)LockBit的暗網(wǎng)站點(diǎn)（約22個(gè)）都已被執(zhí)法機(jī)構(gòu)接管，并用于發(fā)布執(zhí)法通告（下圖）：

作為克羅諾斯行動(dòng)的一部分，執(zhí)法部門(mén)從被扣押的LockBit服務(wù)器中獲取了1000多個(gè)解密密鑰?；谶@些解密密鑰，日本警方、英國(guó)國(guó)家犯罪局（NCA）和聯(lián)邦調(diào)查局(FBI)在歐洲刑警組織的支持下開(kāi)發(fā)了LockBit 3.0勒索軟件解密工具。受害者現(xiàn)在可以通過(guò)“NoMoreRansom”門(mén)戶（https://www.nomoreransom.org/en/index.html）獲得此免費(fèi)解密器。

LockBit的暗網(wǎng)數(shù)據(jù)泄露站點(diǎn)也被執(zhí)法者接管并用于發(fā)布解密工具和執(zhí)法動(dòng)態(tài)（上圖）。

LockBit啟動(dòng)事件調(diào)查和應(yīng)急響應(yīng)措施

歐洲刑警組織表示，他們已經(jīng)收集了有關(guān)LockBit組織犯罪行動(dòng)的“大量”數(shù)據(jù)，這些數(shù)據(jù)將用于針對(duì)該組織領(lǐng)導(dǎo)人及其開(kāi)發(fā)者和聯(lián)盟組織的持續(xù)行動(dòng)，旨在將LockBit犯罪組織一網(wǎng)打盡，斬草除根。

但現(xiàn)在斷言LockBit勒索軟件組織將被徹底剿滅還為時(shí)過(guò)早，因?yàn)闅v史上大型僵尸網(wǎng)絡(luò)和勒索軟件組織成功反圍剿，死灰復(fù)燃卷土重來(lái)的案例有很多，包括LockBit3.0自身已經(jīng)是第二次“復(fù)活”。

在本周二發(fā)送給聯(lián)盟組織的事件通報(bào)電子郵件中（下圖），LockBit運(yùn)營(yíng)者表現(xiàn)得非常鎮(zhèn)靜和專業(yè)，聲稱在發(fā)現(xiàn)數(shù)據(jù)泄露后立刻聯(lián)合網(wǎng)絡(luò)安全專家啟動(dòng)了事件調(diào)查和應(yīng)急響應(yīng)措施。

LockBit還在郵件中敦促附屬機(jī)構(gòu)加強(qiáng)安全措施，防止類似數(shù)據(jù)泄露事故再次發(fā)生。LockBit建議附屬機(jī)構(gòu)采取以下緩解和加固措施：

• 重置LockBit賬戶密碼。
• 啟用MFA多因素認(rèn)證。
• 監(jiān)控賬戶，留意賬戶狀態(tài)和信用報(bào)告中的異常活動(dòng)。

關(guān)于“勒索軟件之王”LockBit

拳打工商銀行、手撕波音公司，LockBit是2019年以來(lái)的最危險(xiǎn)和最多產(chǎn)的勒索軟件組織（沒(méi)有之一），令各國(guó)政府和財(cái)富500強(qiáng)公司夜不能寐。該組織采用勒索軟件即服務(wù)(RaaS)運(yùn)營(yíng)模式，對(duì)各種組織發(fā)動(dòng)攻擊，包括企業(yè)、政府機(jī)構(gòu)和醫(yī)療組織。

LockBit的創(chuàng)始人是一個(gè)營(yíng)銷和商業(yè)天才，甚至有圈內(nèi)人士稱其為“勒索軟件行當(dāng)?shù)膯滩妓埂?。舉一個(gè)簡(jiǎn)單的例子，LockBit對(duì)其勒索軟件攻擊活動(dòng)的定義是：“后付費(fèi)的滲透測(cè)試服務(wù)”。

不可否認(rèn)，LockBit這套“婊牌兼立”的價(jià)值觀確實(shí)讓很多市場(chǎng)營(yíng)銷人員直呼內(nèi)行，但這絕不是LockBit讓業(yè)界為之膽寒的真正原因。

LockBit的成功之處可以概括為三點(diǎn)：

• 商業(yè)模式（RaaS）創(chuàng)新
• 研發(fā)的敏捷化
• 遠(yuǎn)離地緣政治

LockBit宣稱自己是全球唯一一個(gè)不經(jīng)手加盟組織贖金的RaaS聯(lián)盟項(xiàng)目（LockBit的傭金提成約為贖金的25%），所有其他勒索軟件聯(lián)盟項(xiàng)目都會(huì)要求合作伙伴先將贖金支付轉(zhuǎn)入自己的錢包，然后再向合作伙伴支付其份額，一旦RaaS項(xiàng)目運(yùn)營(yíng)者卷款跑路，其“合作伙伴”將蒙受巨大損失，例如DarkSide項(xiàng)目。

此外，LockBit創(chuàng)始人將自己標(biāo)榜為遠(yuǎn)離地緣政治的“道德黑客”，在接受RHC采訪時(shí)，他厚顏無(wú)恥地聲稱：“這是我個(gè)人的世界觀，我反對(duì)戰(zhàn)爭(zhēng)和流血事件，我們是普通的滲透測(cè)試人員，讓這個(gè)世界更安全，多虧了我們，公司可以學(xué)到安全課程并修復(fù)漏洞。Conti及其重組的BlackBasta是政治黑客，他們工作是為了摧毀基礎(chǔ)設(shè)施，只是為了對(duì)公司造成最大的損害。而我們，反過(guò)來(lái)，使全世界的公司受益，讓它們更安全、更穩(wěn)固?！?/p>