在2024年8月,网络安全研究员乔恩·迪马乔(Jon DiMaggio)在黑客大会Def Con上分享了他对LockBit勒索软件团伙领导者的渗透故事。迪马乔,Analyst1公司的研究员,通过一系列精心策划的行动,成功获得了LockBit团伙领袖的信任,并最终曝光了他的真实身份。
在这场精心策划的网络心理战中,网络安全研究员Jon DiMaggio成功接近并揭露了LockBit勒索软件团伙的管理员Dmitry Khoroshev的真实身份。DiMaggio首先利用多个伪身份账户接触与LockBitSupp有直接联系的人,并观察他们的互动,逐步构建起自己在地下网络的犯罪人物形象。在与LockBitSupp建立直接友好的关系后,他通过轻松的聊天和提问,巧妙地获取了团伙操作的细节。
2023年1月,DiMaggio发表了一份关于其卧底研究的长篇报告,公开了自己渗透团伙的行动,但与LockBitSupp的关系并未中断。随后,DiMaggio通过匿名线报获得的Yandex邮箱地址,逐步揭开了LockBitSupp的身份谜团。当美国执法部门宣布将公布LockBit管理员身份时,DiMaggio联系FBI并告知自己的发现,FBI的回应让他确信自己找对了人。最终,随着美国司法部公开指控Khoroshev,DiMaggio也发布了自己的报告,揭露了Khoroshev的详细信息。DiMaggio在报告中向Khoroshev发出了告别信息,劝其收手,同时表达了对这位长期对手的尊重。
LockBit勒索软件团伙以其高效且破坏力强的攻击手段而闻名。近期,国际执法部门曾控制了LockBit的黑暗网络网站,并挂上了“该网站现已由执法部门控制”的信息,虽然这项行动很快被LockBit重新启动的站点所抵消。然而,2024年5月6日,执法机关更新了被控网站,并宣布将在24小时内揭露LockBit管理员的身份。这一公告引发了迪马乔的兴趣,因为他一直在暗中追踪这个团伙。
LockBit勒索软件组织自2019年首次出现以来,迅速演变成为一个高度组织化、多产的网络犯罪集团。起初,LockBit以其直接针对企业的勒索软件攻击而闻名,要求高额赎金以解密数据。随着时间的推移,该组织不断升级其恶意软件,增强加密技术,扩展其攻击手段,包括利用零日漏洞和供应链攻击,以提高其成功率和影响力。LockBit还引入了一种"勒索软件即服务"(RaaS)模式,允许附属成员发起攻击并分享收益,从而扩大了其操作规模和地理覆盖范围。此外,LockBit通过在其所谓的"新闻网站"上发布被盗数据的威胁,增加了对受害者的压力,迫使其支付赎金。尽管面临国际执法机构的打击,LockBit仍然不断适应和进化,展示出其在网络犯罪领域的韧性和创新能力。
![卧底Lockbit勒索团伙!网络安全研究员渗透并曝光了LockBit组织的领袖]( "卧底Lockbit勒索团伙!网络安全研究员渗透并曝光了LockBit组织的领袖")
迪马乔的渗透工作始于几年前。当时,他通过创建一系列虚假的社交媒体账户,模仿有黑客背景的角色,以便接触和观察LockBit的成员。通过这些虚假账户,他建立了一个看似有经验的黑客形象,以便能更自然地与LockBit成员交流,特别是与团伙领导者LockBitSupp建立联系。
迪马乔通过与LockBitSupp的互动,逐渐获取了对方的信任。他不仅与其闲聊,还提出关于勒索攻击的技术细节和操作方法的问题。这一过程持续了相当长的时间,尽管迪马乔最初的尝试加入团伙被拒绝,但他与LockBitSupp的关系逐渐变得亲密。
2023年1月,迪马乔完成了一份详细的报告,揭露了他的渗透发现,并“烧掉”了所有虚假的黑客身份。令他意外的是,LockBitSupp对这份报告的反应并不像他预期的那样剧烈。反而,LockBitSupp在论坛上公开调侃迪马乔,甚至使用了迪马乔的LinkedIn照片作为自己的头像,显然在游戏中与迪马乔较量。
迪马乔的调查并没有止步于此。他在公开场合用一种讽刺的方式威胁LockBitSupp,声称如果他们不支付1000万美元,他将公布新的研究成果。这个行为让部分黑客担忧,显示了迪马乔在心理战方面的成功。
与此同时,LockBitSupp曾因黑客攻击社区医院而暂时消失,迪马乔对此感到愤怒。他选择继续与LockBitSupp保持联系,同时向FBI报告了自己的调查进展。FBI建议迪马乔等待,直到执法部门公开LockBitSupp的身份。
2024年8月,随着执法机关宣布Dmitry Khoroshev为LockBit的实际管理者,迪马乔也准备好公开他的发现。他在自己的报告中揭露了Khoroshev的真实身份,包括他的住址和联系方式,并写了一封告别信,表达了对Khoroshev的尊重和对他行为的反感。
迪马乔的公开曝光引发了广泛关注,也为网络安全研究界提供了一个重要案例:如何通过深入渗透和心理战术来揭露和打击网络犯罪分子。
尽管迪马乔的行动对LockBit团伙造成了严重打击,但他也承认,这样的行动可能会带来潜在的报复风险。他希望自己的经历能够为其他网络安全研究员提供借鉴,并提醒大家渗透黑客团伙可能会面临的挑战和后果。
通过此次事件,迪马乔不仅揭露了一个重要网络犯罪团伙的核心人物,也展示了网络安全研究员如何通过巧妙的策略和深入的调查,在打击网络犯罪的道路上取得重要进展。
-
2024年7月 - U.S. Electric Utility
LockBit攻击了一家美国电力公司,导致部分地区电力中断,造成重大运营和经济损失。
-
2024年6月 - Major Brazilian Bank
攻击了巴西一家大型银行,泄露客户账户信息,影响银行的在线服务和内部操作。
-
2024年5月 - European Health Authority
攻击了欧洲的一家健康管理机构,影响医疗记录系统,对患者隐私和医疗服务产生严重威胁。
-
2024年4月 - Japanese Manufacturing Firm
攻击了一家日本制造企业,导致生产线停工,干扰供应链管理。
-
2024年3月 - Canadian Government Agency
攻击了加拿大的一家政府机构,导致内部系统瘫痪,对敏感数据的安全性产生影响。
-
2024年2月 - Australian Healthcare Provider
攻击了澳大利亚的一家医疗服务提供商,影响医疗记录和患者服务,关注医疗数据保护。
-
2024年1月 - South Korean Technology Company
攻击了一家韩国科技公司,导致内部系统中断,泄露技术和研发数据。
-
2023年12月 - Indian Telecom Company
攻击了一家印度电信公司,影响通信网络和客户服务,导致大量用户数据泄露。
-
2023年11月 - French Education Institution
攻击了法国的一家教育机构,导致在线教学系统中断,对学生和教职员工造成困扰。
-
2023年10月 - U.K. Financial Services Company
攻击了英国的一家金融服务公司,泄露客户金融数据,严重影响业务操作和客户信任。
-
2023年6月 - Groupe La Poste
攻击了法国的邮政和物流公司Groupe La Poste,导致业务中断,特别是在邮政服务和包裹配送方面。
-
2023年9月 - European Automotive Manufacturer
攻击了一家欧洲大型汽车制造商,严重影响生产线和供应链,造成经济损失和品牌声誉受损。
-
2021年5月 - HSE
攻击了爱尔兰健康服务执行机构HSE,影响了内部系统,医疗服务提供受到了负面影响。
-
2021年11月 - Panasonic
攻击了日本电子制造商Panasonic,导致内部系统部分瘫痪,影响文件存储和通讯。
-
2021年7月 - City of London
攻击了伦敦市政府,影响多个行政系统和数据库,迫使市政府采取紧急措施恢复服务。
1、https://techcrunch.com/2024/08/09/how-a-cybersecurity-researcher-befriended-then-doxed-the-leader-of-lockbit-ransomware-gang/
原文始发于微信公众号(网空闲话plus):卧底Lockbit勒索团伙!网络安全研究员渗透并曝光了LockBit组织的领袖
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3051009.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论