警方進行了一個“國際化運營”針對 Lockbit 駭客的重大攻擊。此次行動由十一個國家的當局進行,結果進入多個站點暗網上該團伙的成員。該小組,使得“近 2,500 名受害者,其中 200 多名在法國,包括醫院、市政廳和各種規模的公司”根據巴黎檢察官辦公室的說法,他被剝奪了“恥辱之牆”。這是Lockbit發布的平台“拒絕支付贖金者的數據”。
為了解決 Lockbit 的基礎設施問題,專家們國家犯罪局 (NCA),一個負責打擊組織犯罪的英國機構,“控制了 LockBit 的核心管理環境,允許附屬機構設計和實施攻擊”。就他而言,歐洲刑警組織指定位於不同國家的 34 台伺服器被扣押。同時,200多個持有加密貨幣的區塊鏈帳戶落入警方手中。
部分線上基礎設施
不幸的是,事實證明,運行 Lockbit 的網路犯罪分子已經為當局可能發動的攻擊做好了準備。在進攻期間,該團夥在 Tox 消息上發布了一條消息,表明 FBI 已控制了該組織“使用 PHP 的伺服器”, 多於“沒有 PHP 的備份伺服器不受影響”。
Lockbit 勒索軟體組織已向 Tox 上的個人發布了一條訊息。
“FBI 搞砸了使用 PHP 的伺服器,沒有 PHP 的備份伺服器卻沒有受到影響”
“FBI 搞砸了使用 PHP 的伺服器,沒有 PHP 的備份伺服器沒有受到影響”
— vx-underground (@vxunderground)2024 年 2 月 19 日
參與這項行動的巴黎檢察官辦公室明確表示,僅拆除了 Lockbit 的部分基礎設施。檢方的新聞稿提到“LockBit 勒索軟體基礎設施的重要組成部分,包括在暗網上 »,這證實並非所有事情都落入調查人員手中。儘管執法部門高呼勝利,但該團夥似乎只是暫時無法開展活動。
正如 Sophos 網路安全專家 Chester Wisniewski 所解釋的那樣,“他們的大部分基礎設施仍然在線,這可能意味著警方無法觸及”。對他來說,“不過,我們也不能高興得太快。”Harfanglab 的網路安全研究員 Ivan Kwiatkowski 對此表示同意。即使他“我們絕不能最小化這次打孔行動”,我們必須“但是,請保持謹慎,因為我們在過去看到過許多案例,團隊找到了回來的方法,重組其架構,並最終繼續工作”。
罪犯仍然逍遙法外
Chester Wisniewski 也回憶道,並非所有 Lockbit 組織的駭客都被法院逮捕。事實上,歐洲刑警組織只進行了兩次逮捕目前,應法國調查人員的要求,在波蘭和烏克蘭進行了調查。巴黎檢察官辦公室確保“調查將繼續查明並逮捕該組織的其他成員”。歐洲刑警組織補充說,還發出了五份起訴書和三份國際逮捕令。
剩下的網路犯罪分子仍然在野外,並且可以自由地重新啟動該小團體的活動。這並不是勒索軟體集團第一次在警方進攻後浴火重生。我們會記住詛咒歸來在美國閃電般的進攻之後,該組織僅停滯了兩個月。
「雖然一些行為者在此次行動中被捕,但似乎不太可能所有Lockbit 管理者或行為者都被逮捕,這意味著許多附屬機構將能夠繼續在勒索軟體領域開展業務,為什麼其他團體、其他組織不這樣做呢?,與 en garde Ivan Kwiatkowski 一起。
一些 Lockbit 駭客也很可能無限期地逃脫法律制裁。該組織背後的一些駭客確實是總部設在俄羅斯,躲避當局的庇護。這就是阿圖爾·桑加托夫和伊凡·康德拉季耶夫的例子,他們是國際逮捕令的目標。英國執法部門表示,俄羅斯司法部門對網路犯罪者表現出自滿態度。
此外,電腦安全研究人員指出,勒索軟體被駭客社群大規模利用。儘管該集團的基礎設施暫時中斷,「可以肯定的是,一定數量的玩家仍然擁有該組織惡意軟體的原始碼;並找到重建生態系的方法”。顯然,儘管警方發起了進攻,但勒索軟體很可能會繼續增加受害者。我們也知道大量基於 Lockbit 程式碼的克隆已經在暗網上激增。
一個解密工具
儘管如此,這次行動還是讓調查人員掌握了大量有關 Lockbit 攻擊的敏感資料。 NCA透露已取得Lockbit平台的原始碼,“一種客製化的資料外洩工具,稱為 Stealbit”以及超過 1,000 個解密金鑰。調查人員還指出,有關支付贖金的受害者的資料仍然保存在 Lockbit 的伺服器上。
利用這些寶貴的訊息,日本警方能夠開發出一種解密工具。受害者可以使用該工具無需支付贖金即可重新存取其數據應黑客要求。這可以在網站上找到“不再有贖金”,以及其他針對不同勒索軟體的工具。
