勒索之王LockBit 被11国联合执法覆灭？将发布4.0版本

左右滑动查看更多

近日，美、英、法等国针对 LockBit 勒索软件组织发起一项名为“Cronos 行动”的联合执法活动，成功逮捕多名组织核心成员，扣押大量资金和作案工具设备。目前，LockBit 数据泄露网站上赫然出现“该网站处于执法部门控制之下”的画面。

安全研究机构 vxground 表示，联合执法机构获取了 LockBit 勒索软件组织包括源代码、攻击受害者详细信息、勒索金额、被盗数据、聊天记录等在内的详细信息，并控制了 LockBit 的管理平台。此外，执法机构还在 LockBit 登录页面时，发布了呼吁其成员“自首”的通知。

趋势科技安全研究人员发现新恶意软件样本中包含了一个 JSON 格式的配置文件，其中概述了执行参数，如执行日期范围、赎金说明详情、唯一 ID、RSA 公钥和其他操作标志，主要使用 .NET 编写的，似乎是用 CoreRT 编译的，并装有 MPRESS。

解密配置（来源：趋势科技）

值得一提的是，趋势科技方面表示新 LockBit NG Dev 的加密器缺乏此前迭代版本中的一些功能（例如在被攻破的网络上自我传播的能力、在受害者的打印机上打印赎金票据），但是也似乎正在处于最后开发阶段，已经提供了大部分预期功能。

目前来看， LockBit NG Dev 勒索软件支持三种加密模式（使用 AES+RSA），即 "快速"、"间歇 "和 "完全"，具有自定义文件或目录排除功能，并能随机化文件命名，使恢复工作复杂化。

以间歇模式加密的文件（来源：趋势科技）

勒索软件组织屡禁不止，异常猖獗的主要原因是其具有很强的隐秘性，警方最多只能逮捕到一两个成员，控制一些服务器，却难以抓获幕后主使。就像上文 LockBit 勒索软件一样，尽管执法机构成功攻陷了LockBit 的主要犯罪网络，但该软件的开发者们很可能会在一段时间的沉寂后，披上一个新“马甲”再度出现。

2019 年 9 月，LockBit 勒索软件即服务（RaaS）首次浮出水面，此后便开始针对全球范围内的众多知名组织机构展开疯狂的攻击，包括英国皇家邮政、奥克兰市、大陆汽车巨头和意大利国税局和美国多家银行在内的知名企业、政府机构成为其受害者。

2023 年 6 月，美国网络安全当局发布的一份联合公告显示，自 2020 年以来，LockBit 勒索软件团伙针对美国机构，发起了多达 1700次 的网络攻击，共勒索了至少 9100 万美元。欧洲检察官组织（Eurojust）也曾发布声明称，LockBit 勒索软件已经侵害全球超 2500 多名受害者，净赚了超过 1.2 亿美元的非法利润。（总赎金金额数目无法确认，也有机构称 LockBit 至少获取了数亿美金）

Secureworks 的副总裁 Don Smith 曾表示 LockBit 是全球最主要的勒索软件运营商，市占率接近 25%。本次联合执法行动最大程度上打击了 LockBit 组织的嚣张气焰， 不仅扣押该组织活动资金和核心成员，美国国务院还发布了针对 LockBit 勒索软件团伙成员及其同伙的“悬赏令”，对提供线索的人士最高可支付 1500 万美元的奖励。

美国国务院甚至还设置了一个专门的 Tor SecureDrop 服务器，可用于匿名提交有关 LockBit 和其它被通缉的威胁攻击者的线索。

目前来看，鉴于类似大多数 LockBit 的勒索软件组织具有跨国性质和技术复杂性，犯罪活动具有很强的持续性以及变异性，可以轻松地避开单一打击行动的限制，甚至重新组织并再次出现在网络空间中。此外，勒索软件组织的技术迭代以及应急响应比很多大型的网络安全公司还要出色，能够很好地找到并封堵执法机构进入其内部网络通道。

再加上勒索软件组织在暗处，种种情况叠加在一起，给执法机构带来了巨大的挑战和困难，因为执法人员不仅需要不断追踪和打击威胁犯罪分子，还需要应对他们不断更新的攻击手段和技术。

面对这一局面，执法机构需要采取更加灵活和多样化的打击手段，包括加强国际合作、深入研究黑客组织的运作模式、加大对暗网和加密货币等新型犯罪手段的监管力度等。同时，加强对网络安全的投入和监测，提高对潜在网络攻击的识别和预警能力。