曾攻击工商银行的黑客组织LockBit 遭国际联合执法强力重创
财联社2月20日讯(编辑 史正丞)臭名昭著的跨国黑客集团LockBit本周再次登上全球各大媒体的版面,不过这次并非又有哪家大公司遭殃,而是这个组织被多国警方合力拿下了。
根据社交媒体截图所示,现在进入这个组织在暗网的首页,已经显示“网站已由执法部门控制”。如下图所示,参与这次行动的有英国国家打击犯罪调查局(NCA)、美国联邦调查局(FBI)、欧洲刑警组织等十余个机构。
背景知识:LockBit犯了啥事?
与过往黑客团队单独作案不同,LockBit将骇客行为发展成了一门服务:LockBit向有意发动攻击的黑客或组织提供软件服务,事成之后从勒索到的赎金中抽成。
LockBit的勒索软件能够在极短的时间里,将受害公司服务器里的文件加密并窃取。受害公司要么按照要求支付赎金(通常是加密货币),要么就等着自家的机密文件被公之于众。
根据现有信息,LockBit最早的公开犯罪记录可以追溯到2019年,随着“LockBit 2.0”在2021年问世,这个组织迅速变成全球网络安全的头号威胁。戴尔科技旗下网安公司Secureworks的副总裁Don Smith总结称,LockBit是全球最主要的勒索软件运营商,市占率接近25%,排名第二的Blackcat大概有8.5%,剩下的市场就非常零碎了。
美国国土安全部曾发布报告称,在2020年1月至2023年5月期间,黑客使用LockBit软件一共在美国作案1700余起,从中敲诈得手9100万美元。
多年以来,不少政府机构、全球知名企业都曾陷入LockBit的勒索圈套。对中国股民而言,比较熟悉的案例就有埃森哲、波音、台积电等。去年11月,中国工商银行的美国全资子公司也曾遭到该组织攻击,并对美国国债市场的交易产生了影响。
执法行动有哪些细节?
北京时间周二晚间,全球执法部门也密集发声,给出了更多与行动有关的细节。
英国NCA在声明中表示,通过渗透 LockBit的网络,NCA 已经控制了 LockBit 的服务,从而破坏了整个犯罪团伙。
NCA表示,现在执法机构已经控制了该集团用来构建和实施攻击的主要管理环境,以及该组织在暗网发布勒索信息和公开受害者文件的网站。现在这个网点将成为执法机构发布LockBit调查信息的页面。
调查人员同时获得了LockBit 平台的源代码,以及大量与该组织有关的情报,包括与他们合作过的组织,以及利用LockBit服务危害全球网络安全的信息。服务器中还有一些已支付赎金受害者的数据,尽管该组织承诺收到钱就会删数据,但显然未能做到这一点。
公告表示,在欧洲刑警组织的协调下,周二早晨有两名LockBit的参与者在波兰、乌克兰被捕,超过两百个与该组织有关的加密货币账户被冻结。
最后,执法机构在这次的行动中总共获得超过1000条解密的密钥。未来几天内,NCA将负责协助英国地区的受害者恢复文件,而FBI和欧洲刑警组织则将协助其他的受害者。
同样在周二,FBI的顶头上司、美国司法部长梅里克·加兰发表视频称,在本次执法行动中,美国司法部对多名犯罪嫌疑人提出指控,涉及使用勒索软件发动攻击等行为。加兰同时强调,Lockbit 不是全球执法机构打掉的第一个勒索软件变种,也不会是最后一个。
威胁并未消散
由于跨国黑客组织天然的隐秘性,打击行动往往只能找到服务器,但抓不到幕后主使。虽然LockBit的主要犯罪网络被执法机构攻陷,但开发这套软件的黑客们,极有可能在几年后“换一个马甲”再度横空出世。
NCA局长格莱姆·比格也表示,在执法人员“黑掉”LockBit的组织后,他们很有可能会试图重建这个犯罪团伙。然而,现在我们知道他们是谁,以及这个组织如何运作。解下来执法机构将继续针对这个组织,以及与他们有关人士的调查。
互联网上流传的图片显示,现在使用LockBit软件服务的黑客们,在登陆平台后能看到执法机构的留言:“我们有源代码、您攻击的受害者的详细信息、勒索的金额、窃取的数据、聊天记录,以及更多信息。接下来我们有可能很快会来找你聊聊!”
网络安全研究机构vx-underground透露,遭到执法人员突袭后,Lockbit团队通过加密即时通讯软件发表声明称,执法人员攻击了该组织使用PHP语言运行的服务器,该组织未使用这种编程语言的备用服务器没有落入执法机构手里。