近日,美、英、法等国针对 LockBit 勒索软件组织发起一项名为“Cronos 行动”的联合执法活动,成功逮捕多名组织核心成员,扣押大量资金和作案工具设备。目前,LockBit 数据泄露网站上赫然出现“该网站处于执法部门控制之下”的画面。
安全研究机构 vxground 表示,联合执法机构获取了 LockBit 勒索软件组织包括源代码、攻击受害者详细信息、勒索金额、被盗数据、聊天记录等在内的详细信息,并控制了 LockBit 的管理平台。此外,执法机构还在 LockBit 登录页面时,发布了呼吁其成员“自首”的通知。
执法机构共查获了 34 台 LockBit 服务器,识别并移除了超过 1.4 万个恶意账户。(服务器大都位于荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国, LockBit 组织主要利用恶意帐户托管攻击中使用的工具和软件,并存储从公司窃取的数据)
另外一个好消息是,执法机构组织一批安全研究人员从被扣押的 LockBit 服务器中,整理出来 1000 多个解密密钥,最终在这些解密密钥基础上,英国国家犯罪局(NCA)、联邦调查局(FBI)以及欧洲刑警组织共同开发出了 LockBit 3.0 勒索软件解密工具。
这一次 LockBit 勒索软件真覆灭了吗?
作为一个曾轻松击穿波音公司网络防御系统,在中美和欧洲各国互联网世界随意游走,LockBit 勒索软件组织毫无疑问一定是近些年黑客世界的“王者“,从目前警方发布的信息以及其它勒索软件的发展历程来看,立刻判定此次执法行动将彻底颠覆 LockBit 勒索软件组织为时尚早。
毕竟,LockBit 是近些年互联网世界技术实力最强、活动最频繁、危害最大的勒索软件组织,再加上已经有 LockBit3.0 ”复活“的经验,一次联合执法行动很难彻底将其剿灭 。就在执法行动事件刚平息不久,业内就传出了 LockBit 勒索软件运营商向其附属组织发布了安抚公告。
公告中强调,LockBit 勒索软件组织的安全专家在发现遭受袭击后立即展开调查,很快就找了原因,为防止类似数据泄露事故再次发生,请各个附属机构尽快采取重置 LockBit 账户密码、启用 MFA 多因素认证、监控账户、留意账户状态和信用报告中的异常活动等安全措施。
此外,多家媒体披露目前 LockBit 勒索软件组织正在秘密构建一个命名为 LockBit NG Dev 的文件加密恶意软件,新版本很可能会成为 LockBit 4.0。
趋势科技安全研究人员发现新恶意软件样本中包含了一个 JSON 格式的配置文件,其中概述了执行参数,如执行日期范围、赎金说明详情、唯一 ID、RSA 公钥和其他操作标志,主要使用 .NET 编写的,似乎是用 CoreRT 编译的,并装有 MPRESS。
解密配置(来源:趋势科技)
值得一提的是,趋势科技方面表示新 LockBit NG Dev 的加密器缺乏此前迭代版本中的一些功能(例如在被攻破的网络上自我传播的能力、在受害者的打印机上打印赎金票据),但是也似乎正在处于最后开发阶段,已经提供了大部分预期功能。
目前来看, LockBit NG Dev 勒索软件支持三种加密模式(使用 AES+RSA),即 "快速"、"间歇 "和 "完全",具有自定义文件或目录排除功能,并能随机化文件命名,使恢复工作复杂化。
以间歇模式加密的文件(来源:趋势科技)
勒索软件组织屡禁不止,异常猖獗的主要原因是其具有很强的隐秘性,警方最多只能逮捕到一两个成员,控制一些服务器,却难以抓获幕后主使。就像上文 LockBit 勒索软件一样,尽管执法机构成功攻陷了LockBit 的主要犯罪网络,但该软件的开发者们很可能会在一段时间的沉寂后,披上一个新“马甲”再度出现。
LockBit 勒索软件组织犯下累累罪行
2019 年 9 月,LockBit 勒索软件即服务(RaaS)首次浮出水面,此后便开始针对全球范围内的众多知名组织机构展开疯狂的攻击,包括英国皇家邮政、奥克兰市、大陆汽车巨头和意大利国税局和美国多家银行在内的知名企业、政府机构成为其受害者。
2023 年 6 月,美国网络安全当局发布的一份联合公告显示,自 2020 年以来,LockBit 勒索软件团伙针对美国机构,发起了多达 1700次 的网络攻击,共勒索了至少 9100 万美元。欧洲检察官组织(Eurojust)也曾发布声明称,LockBit 勒索软件已经侵害全球超 2500 多名受害者,净赚了超过 1.2 亿美元的非法利润。(总赎金金额数目无法确认,也有机构称 LockBit 至少获取了数亿美金)
Secureworks 的副总裁 Don Smith 曾表示 LockBit 是全球最主要的勒索软件运营商,市占率接近 25%。本次联合执法行动最大程度上打击了 LockBit 组织的嚣张气焰, 不仅扣押该组织活动资金和核心成员,美国国务院还发布了针对 LockBit 勒索软件团伙成员及其同伙的“悬赏令”,对提供线索的人士最高可支付 1500 万美元的奖励。
美国国务院甚至还设置了一个专门的 Tor SecureDrop 服务器,可用于匿名提交有关 LockBit 和其它被通缉的威胁攻击者的线索。
目前来看,鉴于类似大多数 LockBit 的勒索软件组织具有跨国性质和技术复杂性,犯罪活动具有很强的持续性以及变异性,可以轻松地避开单一打击行动的限制,甚至重新组织并再次出现在网络空间中。此外,勒索软件组织的技术迭代以及应急响应比很多大型的网络安全公司还要出色,能够很好地找到并封堵执法机构进入其内部网络通道。
再加上勒索软件组织在暗处,种种情况叠加在一起,给执法机构带来了巨大的挑战和困难,因为执法人员不仅需要不断追踪和打击威胁犯罪分子,还需要应对他们不断更新的攻击手段和技术。
面对这一局面,执法机构需要采取更加灵活和多样化的打击手段,包括加强国际合作、深入研究黑客组织的运作模式、加大对暗网和加密货币等新型犯罪手段的监管力度等。同时,加强对网络安全的投入和监测,提高对潜在网络攻击的识别和预警能力。
参考文章:
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-disrupted-by-global-police-operation/
https://thehackernews.com/2024/02/us-offers-15-million-bounty-to-hunt.html
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-secretly-building-next-gen-encryptor-before-takedown/
https://thehackernews.com/2024/02/lockbit-ransomware-operation-shut-down.html