欧洲刑警组织宣布，LockBit 勒索软件组织在各个层面都遭到破坏

LockBit 勒索软件组织遭到英国、美国执法机构的羞辱，欧洲刑警组织通过 LockBit 的泄密网站发布了关于查获该团伙的官方公告。

来自十个国家的执法机构选择利用勒索软件组织的在线基础设施公布由英国国家犯罪局 (NCA) 领导的长达数月的克罗诺斯行动的结果，这是一场前所未有的表演。博客底部的一条消息称，LockBit 的网站将于 2 月 24 日关闭。

“长达数月的执法行动导致 LockBit 的主要平台和其他关键基础设施遭到破坏，从而使他们的犯罪活动无法继续。联合执法行动包括关闭位于英国、荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国的 34 台服务器。”欧洲刑警组织说。

针对 LockBit 的行动似乎是非常彻底的，当局提供了 LockBit 后端的大量屏幕截图，其中包括管理面板对话和加密地址，至少在理论上应该可以跟踪非法资金的动向。

当局公布针对 LockBit 的行动结果，图片来自网络新闻。

“应法国司法当局的要求，两名 LockBit 参与者在波兰和乌克兰被捕。法国和美国司法当局还发出了三份国际逮捕令和五份起诉书。当局已冻结了 200 多个与该犯罪组织有关的加密货币账户。”欧洲刑警组织的声明中写道。

NCA 声称已经接管了 LockBit 的部分技术基础设施，使其服务得以运行，包括该团伙的泄密站点。此外，该机构还获得了 1,000 多个解密密钥，这将使受害者能够重新访问被LockBit勒索软件加密的数据。

“目前，执法部门掌握了整个调查过程中收集的大量数据。这些数据将用于支持正在进行的国际行动活动，重点针对该组织的领导人以及开发商、附属机构、基础设施，以及与这些犯罪活动相关的犯罪资产。”公告中写道。

据 NCA 称，当局成功破坏了 LockBit 的 Stealbit 渗透工具，查获了其位于三个不同国家的支持服务器以及 LockBit 附属公司拥有的数十台服务器，当局声称还获得了LockBit的源代码。

LockBit勒索软件组织遇到麻烦

执法部门在原来的 LockBit 泄密网站上发布的信息指出了进一步的公告，包括揭露 LockBit运营者的身份，LockBit勒索软件组织背后的一个或多个关键人物。这可能对该团伙的幕后黑手构成危险，因为他们已经激怒了俄罗斯网络黑社会中的许多人。

据当局称，LockBit勒索组织已被禁止使用自己的平台，这进一步加剧了对该组织的打击。执法机构选择的消息传递表明了有关 LockBit 附属公司的信息流，这些附属公司是勒索软件团伙的支柱。

美国司法部 (DoJ) 还公布了一份起诉书，指控俄罗斯国民 Artur Sungatov 和 Ivan Kondratyev（又名“Basserlord”）使用 LockBit 勒索软件变体。此前针对该贩毒集团成员的指控包括米哈伊尔·瓦西里耶夫、鲁斯兰·马戈梅多维奇·阿斯塔米罗夫和米哈伊尔·帕夫洛维奇·马特维耶夫（瓦扎瓦卡）。

“通过我们的密切合作，我们已经攻击了黑客；控制了他们的基础设施，夺取了他们的源代码，并获得了帮助受害者解密他们系统的密钥。截至今天，LockBit 已被锁定。我们已经破坏了他们的能力，并且，最值得注意的是，一个依赖保密和匿名的组织的可信度被摧毁。”NCA 总干事格雷姆·比格 (Graeme Biggar) 说道。

Game Over

2 月 19 日，执法机构通过查封该团伙的网站域名来扰乱 LockBit 的活动，当局称其为“克罗诺斯行动”。LockBit 的附属小组负责与受害者互动并监控攻击过程，该小组向犯罪分子发出了来自 NCA 的消息，称所有数据都掌握在执法人员手中。

该信息甚至表示，犯罪分子会首先联系 NCA，该消息模仿勒索软件组织对受害者使用的言辞类型。

此外，用于展示最新受害者的 LockBit 暗网博客的几乎所有域都向用户发送了来自执法部门的消息，称“该网站现已受到执法部门的控制”。

“我们可以确认，LockBit 的服务已因国际执法行动而中断——这是一项持续且发展中的行动。”曾是 LockBit 泄密网站的通知中写道。

虽然 LockBit 使整个西半球的组织都受到了伤害，但其中几起备受瞩目的攻击针对的是对国民心理至关重要的英国知名人士，其中一个案例是广为人知的针对皇家邮政的勒索软件攻击。

2022 年 11 月泄露事件被披露后，皇家邮政部分暂停了运营。LockBit 要求英国邮政服务支付 8000 万美元的赎金，但该组织拒绝了。

谁是LockBit？

据业内人士透露，LockBit 组织于 2019 年底某个时候首次出现在勒索软件领域。自此，该团伙攀上了食物链的顶端，在众多受害组织名单中名列前茅。

尽管该团伙试图维持“道德”犯罪分子的虚假形象，但其附属机构却毫不克制地攻击公共机构。2月初，袭击者闯入了非营利性儿童医院圣安东尼医院。一月份，LockBit 声称对芝加哥圣安东尼医院遭受袭击负责。

据称，该勒索软件组织已对美国和亚洲、欧洲和非洲等世界各地的受害者实施了 1,400 多次攻击。美国司法部的一份报告称，该团伙臭名昭著的勒索软件变种 LockBit 3.0（也称为 LockBit Black）现已进入第三次迭代，被认为是之前所有变种中最难以规避的版本。美国司法部表示，该变种也恰好与另外两个与俄罗斯有关的勒索软件 BlackMatter 和 ALPHV 有相似之处。

根据勒索软件监控工具 Cybernews Ransomlooker 的数据，过去 12 个月所有公开宣布的勒索软件受害者中，LockBit 占 47%。

该团伙的主要人物是一名居住在俄罗斯、绰号为 LockBitSupp 的人。Analyst1 首席安全策略师乔恩·迪马吉奥 (Jon DiMaggio) 表示，管理帐户背后的个人或组织在勒索软件世界中展开激烈竞争，对竞争对手进行抹黑活动。

DiMaggio 认为 LockBitSupp 与俄罗斯的其他主要勒索软件运营商密切相关，俄罗斯是勒索软件活动的热点地区。只要勒索软件团伙不针对当地组织，俄罗斯执法部门就会对网络犯罪的输出视而不见，因此网络犯罪分子可以在莫斯科的统治下安全地活动。

大多数主要勒索软件运营商明确禁止其附属机构针对俄罗斯的目标组织以及莫斯科领导的独立国家联合体 (CIS) 成员。

参考链接：https://cybernews.com/news/lockbit-disrupted-operation-cronos/