警方进行了一个“国际化运营”针对 Lockbit 黑客的重大攻击。此次行动由十一个国家的当局开展,结果进入多个站点暗网上该团伙的成员。该小组,使得“近 2,500 名受害者,其中 200 多名在法国,包括医院、市政厅和各种规模的公司”根据巴黎检察官办公室的说法,他被剥夺了“耻辱之墙”。这是Lockbit发布的平台“拒绝支付赎金者的数据”。
为了解决 Lockbit 的基础设施问题,专家们国家犯罪局 (NCA),一个负责打击有组织犯罪的英国机构,“控制了 LockBit 的核心管理环境,允许附属机构设计和实施攻击”。就他而言,欧洲刑警组织指定位于不同国家的 34 台服务器被扣押。与此同时,200多个持有加密货币的区块链账户落入警方手中。
部分在线基础设施
不幸的是,事实证明,运行 Lockbit 的网络犯罪分子已经为当局可能发起的攻击做好了准备。在进攻期间,该团伙在 Tox 消息上发布了一条消息,表明 FBI 已控制了该组织“使用 PHP 的服务器”, 多于“没有 PHP 的备份服务器不受影响”。
Lockbit 勒索软件组织已向 Tox 上的个人发布了一条消息。
“FBI 搞砸了使用 PHP 的服务器,没有 PHP 的备份服务器却没有受到影响”
“FBI 搞砸了使用 PHP 的服务器,没有 PHP 的备份服务器没有受到影响”
— vx-underground (@vxunderground)2024 年 2 月 19 日
参与此次行动的巴黎检察官办公室明确表示,仅拆除了 Lockbit 的部分基础设施。检方的新闻稿提到“LockBit 勒索软件基础设施的重要组成部分,包括在暗网上 »,这证实并非所有事情都落入调查人员手中。尽管执法部门高呼胜利,但该团伙似乎只是暂时无法开展活动。
正如 Sophos 网络安全专家 Chester Wisniewski 所解释的那样,“他们的大部分基础设施仍然在线,这可能意味着警方无法触及”。对他来说,“不过,我们也不能高兴得太快。”Harfanglab 的网络安全研究员 Ivan Kwiatkowski 对此表示同意。即使他“我们决不能最小化这次打孔行动”,我们必须“但是,请保持谨慎,因为我们在过去看到过许多案例,团队找到了回来的方法,重组其架构,并最终继续工作”。
罪犯仍然逍遥法外
Chester Wisniewski 还回忆道,并非所有 Lockbit 组织的黑客都被法院逮捕。事实上,欧洲刑警组织只进行了两次逮捕目前,应法国调查人员的要求,在波兰和乌克兰进行了调查。巴黎检察官办公室确保“调查将继续查明并逮捕该组织的其他成员”。欧洲刑警组织补充说,还发出了五份起诉书和三份国际逮捕令。
剩下的网络犯罪分子仍然在野外,并可以自由地重新启动该小团体的活动。这并不是勒索软件团伙第一次在警方进攻后浴火重生。我们会记住诅咒归来在美国闪电般的进攻之后,该组织仅停滞了两个月。
“虽然一些行为者在此次行动中被捕,但似乎不太可能所有 Lockbit 管理者或行为者都被逮捕,这意味着许多附属机构将能够继续在勒索软件领域开展业务,为什么其他团体、其他组织不这样做呢?”恶意软件,同时等待 Lockbit 的基础设施重建 »,与 en garde Ivan Kwiatkowski 一起。
一些 Lockbit 黑客也很可能无限期地逃脱法律制裁。该组织背后的一些黑客确实是总部设在俄罗斯,躲避当局的庇护。这就是阿图尔·桑加托夫和伊万·康德拉季耶夫的例子,他们是国际逮捕令的目标。英国执法部门表示,俄罗斯司法部门对网络犯罪分子表现出自满态度。
此外,计算机安全研究人员指出,勒索软件被黑客社区大规模利用。尽管该集团的基础设施暂时中断,“可以肯定的是,一定数量的玩家仍然拥有该组织恶意软件的源代码;并找到重建生态系统的方法”。显然,尽管警方发起了进攻,但勒索软件很可能会继续增加受害者。我们也知道大量基于 Lockbit 代码的克隆已经在暗网上激增。
一个解密工具
尽管如此,这次行动还是让调查人员掌握了大量有关 Lockbit 攻击的敏感数据。 NCA透露已获得Lockbit平台的源代码,“一种定制的数据泄露工具,称为 Stealbit”以及超过 1,000 个解密密钥。调查人员还指出,有关支付赎金的受害者的数据仍然保存在 Lockbit 的服务器上。
利用这些宝贵的信息,日本警方能够开发出一种解密工具。受害者可以使用该工具无需支付赎金即可重新访问其数据应黑客要求。这可以在网站上找到“不再有赎金”,以及针对不同勒索软件的其他工具。
