https://www.europol.europa.eu/media-press/newsroom/news/lockbit-power-cut-four-new-arrests-and-financial-sanctions-against-affiliates

LockBit 团伙的勒索软件基础设施在周二再次遭受重创，四名 LockBit 成员被逮捕，其“关键服务器”被扣押。此次行动由欧盟执法部门牵头，包括数十项制裁，并揭露了其与 Evil Corp 网络犯罪集团的联系。

四名嫌疑人来自四个国家，其中包括一名 LockBit 开发人员、两名 LockBit 附属支持者以及勒索软件组织使用的 Bulletproof 托管服务的管理员。

西班牙当局不仅逮捕了个人，而且还没收了据称是 LockBit 勒索软件关键基础设施一部分的 9 台服务器，这对该组织来说是又一次打击，自今年年初以来，该组织一直遭到全球网络警察的无情追捕。

欧洲刑警组织宣布的这些逮捕行动是“克罗诺斯行动”第三阶段的一部分。“克罗诺斯行动”是由近十几个欧盟国家、欧洲刑警组织和美国联邦调查局于二月份发起的联合国际行动。

欧洲刑警组织在周二的发布会上表示：“这些行动是在 2 月份 LockBit 基础设施大规模中断，以及 5 月及随后几个月针对 LockBit 管理员采取的一系列大规模制裁和运营行动之后采取的。”

长达八页的报告https://www.nationalcrimeagency.gov.uk/who-we-are/publications/732-evil-corp-behind-the-screens/file

该嫌疑开发者在法国被捕；两名被控支持 LockBit 附属机构活动的个人被英国当局逮捕；Bulletproof 管理员在西班牙被拘留。

已发布金融制裁

英国国家犯罪局还针对另一名不良行为者实施了一系列制裁，该机构已将其认定为“LockBit 的多产分支机构，与 Evil Corp 关系密切”，Evil Corp 是克里姆林宫支持的另一个为国际当局所熟知的网络犯罪集团。

与 Evil Corp 有关联的 LockBit 附属公司被曝光为Aleksandr Ryzhenkov，他是知名 Evil Corp 头目Maksim Yakubets（仍逍遥法外）的得力助手。

欧洲刑警组织称，在 LockBit 声称这两个勒索软件组织不合作之后，澳大利亚、英国和美国实施了制裁。

据称， Ryzhenkov，又名“Beverley”，曾亲自参与实施数十起 LockBit 勒索软件攻击，包括使用BitPaymer 勒索软件针对美国受害者，BitPaymer 勒索软件是 Evil Corp 开发和大量使用的已知变种。

NCA 指控“贝弗利”至少发动了“60 起 LockBit 攻击……向受害者勒索至少 1 亿美元”。

NCA 在 X 上发文称：“对于其余的关联公司、开发商和洗钱者，我们期待很快与你们取得联系。”

此外，欧洲刑警组织表示，英国还对另外 15 名俄罗斯公民实施了制裁，美国对另外 6 名实施了制裁，澳大利亚对另外 2 名实施了制裁——所有这些人都因参与 Evil Corp 的犯罪活动而受到制裁。此外，美国司法部周二还公布了一份起诉书，指控Ryzhenkov 与 BitPaymer 攻击有关。

NCA 宣布了对“邪恶公司”的制裁，同时发布了一份长达八页的最新报告，该报告被描述为“对该组织的起源、运作和发展的高层概述”。

按照典型的猫捉老鼠游戏方式，执法人员还在 Team Cronos 先前查获的 LockBit 暗泄密网站上描绘了他们的杰作，以提醒该团伙警方的行动仍在全力进行。据称，“克罗诺斯行动”入侵了该团伙的主要平台，破坏了 LockBit 的运营，包括该团伙的 34 台服务器、200 多个加密货币账户以及来自 LockBit 系统的30,000 个比特币地址。

欧洲刑警组织在此次行动中促进了国际信息交流、行动活动协调、分析支持、加密追踪和法医支持。除了 Evil Corp 的 Ryzhenkov 之外，欧洲刑警组织没有透露在第三阶段逮捕的任何嫌疑人的姓名或国籍。

澳大利亚、加拿大、法国、德国、日本、西班牙、瑞典、瑞士、荷兰、罗马尼亚、英国和美国的网络犯罪部门以及欧盟跨境刑事司法合作机构（Eurojust）都参与了此次最新行动。

逃避打击的 LockBit 团伙

即使周二逮捕了多名嫌疑人，LockBit 网络犯罪集团仍然主导着勒索软件行业，逃避联邦调查局的追捕，并从数千名受害者那里收取了数千万美元的赎金。

该威胁行为者于 2019 年末首次出现，据称已在美国和世界各地（包括亚洲、欧洲和非洲）发动了 1,400 多起攻击。欧洲刑警组织表示，在 2021 年至 2023 年期间，LockBit 被认为是全球使用最广泛的勒索软件变种。

美国司法部报告称，该犯罪团伙臭名昭著的 LockBit 3.0 变种（也称为 LockBit Black）现已更新至第三次迭代，据说是所有先前变种中最具逃避攻击的版本。

事实证明，该团伙非常狡猾，即使在“克洛诺斯行动”第一阶段启动后，他们仍逃避国际执法部门打击 LockBit 行动的行动。

在二月份采取多管齐下的行动并查封 该组织基础设施和暗网以及揭露其头目 LockBitSup（俄罗斯出生的Dmitry Yuryevich Khoroshev）之后的几天内，LockBit 照常营业，创建了一个新的泄密站点并将目标对准了多家美国医院。

6 月份，美国联邦调查局透露，已为多个 LockBit 勒索软件家族恢复了7,000 个解密密钥 ，帮助数千名受害者通过“No More Ransom”网站恢复被盗数据。

根据勒索软件监控工具，在过去 12 个月内，LockBit 占所有公开宣布的勒索软件受害者的 47%。

据悉，LockBit 采用勒索软件即服务 (RaaS) 业务模式运营，对波音公司、安理国际律师事务所等大型公司发动攻击，并于 2023 年大规模利用Citrix 漏洞零日漏洞。最近，该组织吹嘘对德国电信和法国戛纳医院发动了攻击。该团伙还声称在 6 月份从美国联邦储备委员会窃取了 33 TB 的数据，有人说这是对 FBI 骚扰的报复。

欧盟当局在周二的公告中指出， “No More Ransom”门户网站上的免费解密工具提供 37 种语言版本，包含超过 120 种解决方案，能够解密 150 多种不同类型的勒索软件，并且已经帮助了超过 600 万受害者。