眾所周知，臭名昭著的勒索軟件LockBit最近栽了個跟頭，被一起11國參與的聯(lián)合執(zhí)法行動查封了基礎(chǔ)設(shè)施，勒索服務(wù)被迫下線。

英國國家犯罪局（NCA）局長格雷姆·比加爾（Graeme Biggar）表示，執(zhí)法行動不僅摧毀了 LockBit 的攻擊基礎(chǔ)設(shè)施，還獲取了 LockBit 的所有源代碼。官方用“搗毀”一詞，力圖凸顯這次行動的所取得的勝利。美國司法部長梅里克·加蘭（Merrick B. Garland）也對外宣稱，執(zhí)法行動已經(jīng)剝奪了LockBit實施犯罪的機會。

美國司法部長梅里克·加蘭（Merrick B. Garland）

但好景不長，僅僅過了不到一周時間，LockBit便從這一重創(chuàng)中光速復(fù)活，不僅重新上線勒索網(wǎng)站，并掛出5名受害者，還揚言要對政府部門打擊報復(fù)?？梢姡@起執(zhí)法行動雖然猛戳了一下LockBit的痛處，但從其自身角度出發(fā)，似乎只不過是吃一塹長一智的“成長經(jīng)歷”。

這也再一次印證了想要徹底鏟除勒索軟件，其難度之大，讓世界都為之頭痛。

光速復(fù)活的LockBit到底何德何能

LockBit勒索軟件組織最初于2019年左右出現(xiàn)，自成立以來經(jīng)歷了兩次重大迭代，不斷改進其勒索軟件功能和攻擊手段，從最初的1.0版本演化為目前的3.0版本。SecureWorks 反威脅部門副總裁唐·史密斯（Don Smith）稱LockBit已占據(jù)勒索軟件市場四分之一的份額，而最主要的競爭對手BlackCat占有率僅為8.5%。美國國土安全部曾發(fā)布報告稱，在2020年1月至2023年5月期間，黑客使用LockBit軟件一共在美國作案1700余起，從中敲詐得手9100萬美元。

而在今年2月，由英國國家犯罪局（NCA）牽頭、代號為“克羅諾斯”的這起11國聯(lián)合執(zhí)法行動無疑是LockBit自誕生以來遭遇的一次重大打擊。雖然目前看來，這場行動大概是以“失敗”收場，但通過一些行動細(xì)節(jié)，仍能旁敲側(cè)擊地看出LockBit的厲害之處。

“克羅諾斯”行動細(xì)節(jié)

2024年2月20日， NCA在一份聲明中宣布，通過滲透LockBit的網(wǎng)絡(luò)，克羅諾斯行動成功控制了LockBit的服務(wù)，進而搗毀了整個犯罪團伙。NCA指出，執(zhí)法機構(gòu)已接管該組織用于構(gòu)建和實施攻擊的主要管理環(huán)境，以及該組織在暗網(wǎng)發(fā)布勒索信息和公開受害者文件的網(wǎng)站，該網(wǎng)站將成為執(zhí)法機構(gòu)發(fā)布LockBit調(diào)查信息的平臺。

執(zhí)法機構(gòu)還對外釋放了 LockBit 后端管理面板截圖、與受害者談判的截圖，試圖證明執(zhí)法行動對 LockBit 的打擊全面且深入。

LockBit勒索軟件構(gòu)建工具

執(zhí)法人員同時還獲得了大量與該組織相關(guān)的情報，包括與其合作過的組織，以及利用LockBit服務(wù)危害全球網(wǎng)絡(luò)安全的信息。他們還在服務(wù)器中發(fā)現(xiàn)一些已支付贖金的受害者數(shù)據(jù)，可見盡管該組織聲稱刪除數(shù)據(jù)后收取贖金，但顯然該組織在背地里還留了一手。

此外，兩名LockBit的參與者在波蘭和烏克蘭被捕，同時超過兩百個與該組織有關(guān)的加密貨幣賬戶被凍結(jié)。執(zhí)法機構(gòu)還總共獲取了超過1000條解密密鑰。

作為該行動的主要參與者，美國司法部長梅里克·加蘭發(fā)表視頻稱，在本次執(zhí)法行動中，美國司法部以涉及使用勒索軟件發(fā)動攻擊等行為，對多名犯罪嫌疑人提出了指控。

無論是從技術(shù)還是人員，這項執(zhí)法行動都堪稱對LockBit實施了全方位的打擊，但就是在這樣的力度之下，LockBit仍能快速打贏復(fù)活賽，其“城府”之深可見一斑。

LockBit的復(fù)活賽

就在官方宣布“克羅諾斯”行動取得重大成果后不到一周的時間，LockBit就高調(diào)宣布回歸，其管理員LockbitSupp “謙虛”地反思了自身為何會被攻擊，將原因歸結(jié)于“偷懶“沒有及時修復(fù)系統(tǒng)中存在的漏洞，讓執(zhí)法人員鉆了空子，并“感謝”這次執(zhí)法行動讓他幡然醒悟。

根據(jù)LockbitSupp透露的消息，執(zhí)法人員利用了組織內(nèi)的受害者管理和聊天面板服務(wù)器以及博客服務(wù)器所運行的PHP 8.1.2版本漏洞，該漏洞被追溯為CVE-2023-3824。LockBit表示已經(jīng)更新了PHP服務(wù)器，并宣布將獎勵在新版本中找到漏洞的人。

與之伴隨的是新數(shù)據(jù)泄露網(wǎng)站的上線，LockBit列出了5名受害者的信息及數(shù)據(jù)泄露倒計時器，并在顯著位置留了一篇給美國FBI的“小作文”，稱由FBI參與的此次行動屬于“狗急跳墻”，因為他們還未掌握組織核心成員的重要線索時“草草”發(fā)動了攻勢，并推測這次執(zhí)法行動與1月LockBit針對美國富爾頓縣的攻擊有關(guān)，該攻擊很可能泄露了前總統(tǒng)唐納德·特朗普的敏感信息，并將對即將到來的美國大選構(gòu)成影響。而執(zhí)法行動的目的之一就是封鎖消息，阻止特朗普的文件被泄露。

LockBit寫給FBI的“小作文”

LockBit還在文章中稱執(zhí)法行動獲得的 1000 個解密密鑰只是其“未受保護的解密器”庫的一小部分。該類型解密器被用于低贖金攻擊行動，總共約 20000 個，占整體密鑰庫的一半左右。換句話說，該組織覺得損失這1000個密鑰無傷大雅。

為了避免被再次攻破，LockBit 計劃升級其基礎(chǔ)設(shè)施的安全性，改用手動發(fā)布解密器和試用文件解密，并在多個服務(wù)器上托管附屬面板，根據(jù)信任級別為其合作伙伴提供訪問權(quán)限。同時，為了出被聯(lián)合執(zhí)法行動針對的這口惡氣，LockBit叫囂未來攻擊行動將集中針對政府網(wǎng)站，尤其是美國聯(lián)邦調(diào)查局。

除了復(fù)活，勒索軟件也能“轉(zhuǎn)世“

在LockBit之前，已有其他知名勒索軟件組織在遭遇執(zhí)法行動打擊并下線后，通過成員另起爐灶，或以研發(fā)其它變種版本的形式重新拋頭露面。

在2021年10月份的多國聯(lián)合執(zhí)法行動中，勒索軟件組織REvil的服務(wù)器被查，2022年1月，俄羅斯FSB稱在美國提供的相關(guān)信息后徹底毀滅了REvil并抓捕了幾名主要犯罪人員。但僅隔了不到4個月，研究人員就在野外發(fā)現(xiàn)了一個新的Evil勒索軟件樣本變種，由于在加密方式和勒索信格式上與REvil存在類似性，研究人員認(rèn)為是原REvil組織內(nèi)部人員借此重新開始活動。

另一大勒索軟件組織Hive也存在類似情況，該組織在2023 年 1 月的一次國際執(zhí)法行動中被查封。但這之后，一個名為 Hunters International 的新勒索軟件組織開始浮現(xiàn)，并且使用了此前Hive勒索軟件的代碼，其重疊度達60%。但該組織聲稱自己與Hive并無實際關(guān)聯(lián)，只是從開發(fā)者手中購買了加密源代碼。

打擊勒索軟件就像“打地鼠”

從LockBit和以上的例子中不難看出，看似雷厲風(fēng)行的執(zhí)法行動很難斬斷勒索軟件的根，陷入一場無休止的拉鋸戰(zhàn)。除了近年來勒索軟件的復(fù)雜度顯著提升，勒索軟件即服務(wù)（RaaS）的業(yè)務(wù)屬性也決定了單一執(zhí)法行動的局限性，想要打贏“地鼠”似乎困難重重。

勒索軟件即服務(wù)模式

勒索軟件即服務(wù) (RaaS) 是一種網(wǎng)絡(luò)犯罪商業(yè)模式，勒索軟件組織將勒索軟件代碼出售給其他黑客，這些黑客再使用該代碼實施自己的勒索軟件攻擊行為。

這種模式不僅給勒索軟件組織廣開財路，同時也讓勒索軟件四處傳播和滲透。在 RaaS 模式下，實施攻擊的黑客與開發(fā)人員相互獨立，不同的黑客組織也可能使用相同的勒索軟件。安全人員可能無法明確將攻擊歸因于特定群體，從而使分析和抓獲RaaS運營商和附屬機構(gòu)變得更加困難。

換言之，如果運營商和附屬機構(gòu)的任何一方被抓獲，RaaS自帶的風(fēng)險分擔(dān)屬性，也能讓他們有時間和機會重組和重塑活動。比如2023年Hive勒索軟件組織被執(zhí)法行動查封后，相關(guān)附屬組織就紛紛轉(zhuǎn)向使用LockBit 或 BlackCa等其他勒索軟件；在美國外國資產(chǎn)控制辦公室 (OFAC) 制裁 Evil Corp 勒索軟件團伙后，受害者停止支付贖金以避免受到 OFAC 的處罰。作為回應(yīng)，Evil Corp 多次更改其勒索軟件名稱以保證付款順利進行。

這種模式的專業(yè)化也導(dǎo)致了勞動分工，讓勒索軟件的研發(fā)人員專注軟件本身，不斷研發(fā)更加復(fù)雜且功能強大的版本，使之能夠不斷抵御執(zhí)法部門的滲透，附屬機構(gòu)則專注于尋找更有效的攻擊方法，甚至還有專門的“接入經(jīng)紀(jì)人”滲透網(wǎng)絡(luò)，并向攻擊者出售接入點。

也正是由于RaaS模式越發(fā)成熟，勒索軟件發(fā)動攻擊的效率得到了顯著提升，留給安全人員捕獲其蛛絲馬跡的時間窗口也越來越窄。根據(jù) X-Force 威脅情報指數(shù)，執(zhí)行勒索軟件攻擊的平均時間從 2019 年的 60 多天下降到 2022 年的 3.85 天，可謂實現(xiàn)了指數(shù)級飛躍。

加密貨幣成為勒索軟件的保護傘

從2017年大名鼎鼎的WannaCry開始，比特幣等加密貨幣越發(fā)成為勒索軟件組織索要贖金的重要幣種，尤其是比特幣幣值正飛速上漲的當(dāng)下。這是由于加密貨幣具有支付轉(zhuǎn)賬時的全球化、去中心化和匿名性等優(yōu)勢，不受央行和任何金融機構(gòu)的控制，可有效隱藏攻擊者的身份，為勒索軟件提供了低風(fēng)險、易操作、便捷性強的贖金交易和變現(xiàn)方式。

2023年3月15日，反洗錢金融行動特別工作組（FATF）發(fā)布的《打擊勒索軟件犯罪資金》研究報告，指出勒索軟件組織正主要通過虛擬資產(chǎn)及其服務(wù)提供商收取贖金和轉(zhuǎn)移資金，并利用強化匿名加密貨幣、混幣平臺等途徑掩飾交易。同時，各國面臨勒索軟件犯罪可疑交易報告數(shù)量不足、打擊經(jīng)驗缺乏、跨境調(diào)查與資產(chǎn)追繳難度大等挑戰(zhàn)。

跨國執(zhí)法帶來的法律困境

由于勒索軟件活動大多帶有跨國性質(zhì)，不同的國家針對網(wǎng)絡(luò)犯罪有不同的法律框架，在對勒索軟件攻擊進行法律治理時常會因為需要進一步確定管轄權(quán)、準(zhǔn)據(jù)法、舉證方式、證明標(biāo)準(zhǔn)等原因造成法律治理上的不便和遲滯，大大減緩了調(diào)查及執(zhí)法速度，甚至一些國家可能有嚴(yán)格的數(shù)據(jù)隱私法，限制與國際當(dāng)局共享關(guān)鍵信息。雖然近來國際一直在強調(diào)對打擊勒索案軟件展開合作，但顯然這種合作的效率還趕不上勒索軟件的攻擊速率。

此外，勒索軟件攻擊的國際合作治理還涉及集體公開溯源的問題，即將公開溯源運用到國際治理層面。由于網(wǎng)絡(luò)溯源本身的方式和特征，現(xiàn)今時代背景下大國博弈日趨激烈、網(wǎng)絡(luò)空間地緣政治化加劇等原因，該治理方式易引發(fā)國家間沖突的升級，而相互磋商的過程也會為及時溯源帶來不便。

目前，以西方為主的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RCEP）、《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、美英澳三方安全倡議（AUKUS）、美日印澳（QUAD）高級網(wǎng)絡(luò)小組與美歐貿(mào)易和技術(shù)理事會（U.S./EU Trade and Technology Council）等協(xié)定或組織能夠針對勒索軟件采取一些針對性措施，但在覆蓋面、打擊成果的有效性上仍較為有限，需要不斷協(xié)調(diào)和平衡。

這讓我們不得不面對一個現(xiàn)實：勒索軟件已對全球企業(yè)組織、乃至地區(qū)穩(wěn)定構(gòu)成了嚴(yán)重威脅，但從現(xiàn)有的趨勢不難看出，勒索軟件恐將長期存在并且仍存發(fā)展空間，畢竟，網(wǎng)絡(luò)犯罪分子很少會在巨大的利益面前淺嘗輒止，尤其是RaaS模式越發(fā)成熟的當(dāng)下。

走可持續(xù)打擊勒索軟件道路

正如前文所述，打擊勒索軟件就像打地鼠，但如果打擊的棍棒夠多，就能夠在足夠大的可控范圍內(nèi)及時控制并遏止勒索軟件犯罪的勢頭，而這依然繞不開國際間廣泛的相互合作。

近年來，以歐美國家為主的多次聯(lián)合執(zhí)法行動由于這類行動大多僅有單一性，未有持續(xù)性，覆蓋面上僅有區(qū)域性、未有全球性。在動機上，此類執(zhí)法行動往往也是因為政府核心利益受損后才開始重拳出擊，對政治利益的維護大于對其他廣泛的實際受害者的關(guān)切。此類做法不僅對勒索軟件的打擊和震懾作用有限，還會進一步挑起勒索軟件與政府的對立，將政府相關(guān)基礎(chǔ)設(shè)施置于被勒索軟件組織瘋狂報復(fù)的槍口之下。

有專家建議，應(yīng)當(dāng)建立由多國參與的獨立國際組織，對打擊勒索軟件存在的技術(shù)難點進行攻克，同時擔(dān)當(dāng)法律協(xié)調(diào)機構(gòu)，打通各國壁壘，使各國相關(guān)數(shù)據(jù)、情報能夠快速共享，提高應(yīng)對勒索軟件攻擊的響應(yīng)能力。

這就不得不再提到管轄權(quán)問題，在勒索軟件攻擊的國際管轄問題上，各國面臨著管轄權(quán)適用沖突，并不可避免地受到國家利益及各國國際司法話語權(quán)的影響。只有各國互相尊重、平等協(xié)商，共同建立管轄權(quán)沖突的國際規(guī)則，方能切實有效地開展以解決勒索攻擊問題為導(dǎo)向，多角度、多層次、大范圍的國際合作，建立起內(nèi)部規(guī)則健全、匯集技術(shù)資源的切實有效的國際治理合作機制。

打擊勒索軟件固然是塊難啃的硬骨頭，涉及技術(shù)、法律乃至國際地緣政治等諸多瓶頸，但也正是由于勒索軟件危害的全球性和嚴(yán)重性，讓各國不得不面對并合作采取措施。勒索軟件的屠刀下，沒有哪個國家能始終安穩(wěn)地充當(dāng)一名看客。