近日，美、英、法等國針對 LockBit 勒索軟件組織發(fā)起一項名為“Cronos 行動”的聯(lián)合執(zhí)法活動，成功逮捕多名組織核心成員，扣押大量資金和作案工具設(shè)備。目前，LockBit 數(shù)據(jù)泄露網(wǎng)站上赫然出現(xiàn)“該網(wǎng)站處于執(zhí)法部門控制之下”的畫面。

安全研究機構(gòu) vxground 表示，聯(lián)合執(zhí)法機構(gòu)獲取了 LockBit 勒索軟件組織包括源代碼、攻擊受害者詳細信息、勒索金額、被盜數(shù)據(jù)、聊天記錄等在內(nèi)的詳細信息，并控制了 LockBit 的管理平臺。此外，執(zhí)法機構(gòu)還在 LockBit 登錄頁面時，發(fā)布了呼吁其成員“自首”的通知。

執(zhí)法機構(gòu)共查獲了 34 臺 LockBit 服務(wù)器，識別并移除了超過 1.4 萬個惡意賬戶。（服務(wù)器大都位于荷蘭、德國、芬蘭、法國、瑞士、澳大利亞、美國和英國， LockBit 組織主要利用惡意帳戶托管攻擊中使用的工具和軟件，并存儲從公司竊取的數(shù)據(jù)）

另外一個好消息是，執(zhí)法機構(gòu)組織一批安全研究人員從被扣押的 LockBit 服務(wù)器中，整理出來 1000 多個解密密鑰，最終在這些解密密鑰基礎(chǔ)上，英國國家犯罪局（NCA）、聯(lián)邦調(diào)查局(FBI)以及歐洲刑警組織共同開發(fā)出了 LockBit 3.0 勒索軟件解密工具。

這一次 LockBit 勒索軟件真覆滅了嗎？

作為一個曾輕松擊穿波音公司網(wǎng)絡(luò)防御系統(tǒng)，在中美和歐洲各國互聯(lián)網(wǎng)世界隨意游走，LockBit 勒索軟件組織毫無疑問一定是近些年黑客世界的“王者“，從目前警方發(fā)布的信息以及其它勒索軟件的發(fā)展歷程來看，立刻判定此次執(zhí)法行動將徹底顛覆 LockBit 勒索軟件組織為時尚早。

畢竟，LockBit 是近些年互聯(lián)網(wǎng)世界技術(shù)實力最強、活動最頻繁、危害最大的勒索軟件組織，再加上已經(jīng)有  LockBit3.0 ”復活“的經(jīng)驗，一次聯(lián)合執(zhí)法行動很難徹底將其剿滅 。就在執(zhí)法行動事件剛平息不久，業(yè)內(nèi)就傳出了 LockBit 勒索軟件運營商向其附屬組織發(fā)布了安撫公告。

公告中強調(diào)，LockBit 勒索軟件組織的安全專家在發(fā)現(xiàn)遭受襲擊后立即展開調(diào)查，很快就找了原因，為防止類似數(shù)據(jù)泄露事故再次發(fā)生，請各個附屬機構(gòu)盡快采取重置 LockBit 賬戶密碼、啟用 MFA 多因素認證、監(jiān)控賬戶、留意賬戶狀態(tài)和信用報告中的異常活動等安全措施。

此外，多家媒體披露目前 LockBit 勒索軟件組織正在秘密構(gòu)建一個命名為 LockBit NG Dev 的文件加密惡意軟件，新版本很可能會成為 LockBit 4.0。

趨勢科技安全研究人員發(fā)現(xiàn)新惡意軟件樣本中包含了一個 JSON 格式的配置文件，其中概述了執(zhí)行參數(shù)，如執(zhí)行日期范圍、贖金說明詳情、唯一 ID、RSA 公鑰和其他操作標志，主要使用 .NET 編寫的，似乎是用 CoreRT 編譯的，并裝有 MPRESS。

解密配置（來源：趨勢科技）

值得一提的是，趨勢科技方面表示新 LockBit NG Dev 的加密器缺乏此前迭代版本中的一些功能（例如在被攻破的網(wǎng)絡(luò)上自我傳播的能力、在受害者的打印機上打印贖金票據(jù)），但是也似乎正在處于最后開發(fā)階段，已經(jīng)提供了大部分預(yù)期功能。

目前來看， LockBit NG Dev 勒索軟件支持三種加密模式（使用 AES+RSA），即 "快速"、"間歇 "和 "完全"，具有自定義文件或目錄排除功能，并能隨機化文件命名，使恢復工作復雜化。

以間歇模式加密的文件（來源：趨勢科技）

勒索軟件組織屢禁不止，異常猖獗的主要原因是其具有很強的隱秘性，警方最多只能逮捕到一兩個成員，控制一些服務(wù)器，卻難以抓獲幕后主使。就像上文 LockBit 勒索軟件一樣，盡管執(zhí)法機構(gòu)成功攻陷了LockBit 的主要犯罪網(wǎng)絡(luò)，但該軟件的開發(fā)者們很可能會在一段時間的沉寂后，披上一個新“馬甲”再度出現(xiàn)。

LockBit 勒索軟件組織犯下累累罪行

2019 年 9 月，LockBit 勒索軟件即服務(wù)（RaaS）首次浮出水面，此后便開始針對全球范圍內(nèi)的眾多知名組織機構(gòu)展開瘋狂的攻擊，包括英國皇家郵政、奧克蘭市、大陸汽車巨頭和意大利國稅局和美國多家銀行在內(nèi)的知名企業(yè)、政府機構(gòu)成為其受害者。2023 年 6 月，美國網(wǎng)絡(luò)安全當局發(fā)布的一份聯(lián)合公告顯示，自 2020 年以來，LockBit 勒索軟件團伙針對美國機構(gòu)，發(fā)起了多達 1700次 的網(wǎng)絡(luò)攻擊，共勒索了至少 9100 萬美元。歐洲檢察官組織（Eurojust）也曾發(fā)布聲明稱，LockBit 勒索軟件已經(jīng)侵害全球超 2500 多名受害者，凈賺了超過 1.2 億美元的非法利潤。（總贖金金額數(shù)目無法確認，也有機構(gòu)稱 LockBit 至少獲取了數(shù)億美金）

Secureworks 的副總裁 Don Smith 曾表示 LockBit 是全球最主要的勒索軟件運營商，市占率接近 25%。本次聯(lián)合執(zhí)法行動最大程度上打擊了 LockBit 組織的囂張氣焰， 不僅扣押該組織活動資金和核心成員，美國國務(wù)院還發(fā)布了針對 LockBit 勒索軟件團伙成員及其同伙的“懸賞令”，對提供線索的人士最高可支付 1500 萬美元的獎勵。

美國國務(wù)院甚至還設(shè)置了一個專門的 Tor SecureDrop 服務(wù)器，可用于匿名提交有關(guān) LockBit 和其它被通緝的威脅攻擊者的線索。

目前來看，鑒于類似大多數(shù) LockBit 的勒索軟件組織具有跨國性質(zhì)和技術(shù)復雜性，犯罪活動具有很強的持續(xù)性以及變異性，可以輕松地避開單一打擊行動的限制，甚至重新組織并再次出現(xiàn)在網(wǎng)絡(luò)空間中。此外，勒索軟件組織的技術(shù)迭代以及應(yīng)急響應(yīng)比很多大型的網(wǎng)絡(luò)安全公司還要出色，能夠很好地找到并封堵執(zhí)法機構(gòu)進入其內(nèi)部網(wǎng)絡(luò)通道。

再加上勒索軟件組織在暗處，種種情況疊加在一起，給執(zhí)法機構(gòu)帶來了巨大的挑戰(zhàn)和困難，因為執(zhí)法人員不僅需要不斷追蹤和打擊威脅犯罪分子，還需要應(yīng)對他們不斷更新的攻擊手段和技術(shù)。

面對這一局面，執(zhí)法機構(gòu)需要采取更加靈活和多樣化的打擊手段，包括加強國際合作、深入研究黑客組織的運作模式、加大對暗網(wǎng)和加密貨幣等新型犯罪手段的監(jiān)管力度等。同時，加強對網(wǎng)絡(luò)安全的投入和監(jiān)測，提高對潛在網(wǎng)絡(luò)攻擊的識別和預(yù)警能力。