圈小蛙
周一的一项国际执法行动查封了LockBit勒索软件集团使用的服务器并破坏了其基础设施,这是一系列旨在破坏犯罪和间谍组织技术基础设施的行动中的最新一起行动。
在一系列起诉书、法庭诉讼和制裁中,联邦调查局和英国国家犯罪局与一系列国际合作伙伴共同开展了一项名为“克罗诺斯行动”(Operation Cronos)的行动,控制了LockBit用于泄露数据的网站FBI高级官员表示,该组织的文件共享服务和通信服务器、各种附属服务器和支持服务器以及 LockBit 管理面板的服务器均属于受害者。
作为此次行动的一部分,FBI已获得近1000个解密密钥的访问权限,从而有可能恢复或修复正在进行的 LockBit 勒索行动。
联邦调查局网络行动副助理局长布雷特·莱瑟曼 (Brett Leatherman) 在一份声明中表示:“这次行动表明,联邦调查局肩负着独特而有影响力的使命,即让高度复杂的网络行为者付出代价,同时优先向网络攻击的受害者提供援助。”
在线恶意软件库 VX-Underground 在 X 上发布了一条推文,称 LockBit 的一名代表证实了这一行动。“联邦调查局入侵了我们。”该代表说。
“截至今天,LockBit 已被锁定,”英国国家犯罪局局长格雷姆·比格 (Graeme Biggar) 在一份声明中表示。“我们损害了一个依赖保密和匿名的组织的能力,尤其是其可信度。”
欧洲刑警组织在声明中表示,此次行动中有两人被捕——一人在波兰,一人在乌克兰。
联邦调查局根据第 41 条规则开展了一系列行动,旨在破坏世界各地的网络犯罪和网络间谍基础设施,此次行动是这些行动中的最新行动。第 41 条规则是一个法律框架,使 FBI 能够访问多个司法管辖区的计算机并对其进行修改。上周,该机构宣布摧毁了一个由俄罗斯军事情报机构控制的僵尸网络。今年 1 月,联邦调查局打掉了一个用于渗透美国敏感目标的中国僵尸网络。
LockBit首次出现于 2019 年 9 月,被认为是世界上使用最广泛的勒索软件变种。莱瑟曼表示,该软件已被全球 100 多家分支机构使用,导致超过 1.44 亿美元的勒索软件支付,全球至少有 2000 家企业和其他实体成为它的攻击目标,其中包括美国的至少 1600 家企业和实体。2023 年,它是针对工业设施使用最多的勒索软件变种,占网络安全公司 Dragos 跟踪的所有此类事件的四分之一。
作为周二行动的一部分,美国政府公布了对两名俄罗斯公民的起诉书,指控他们在协助 LockBit 攻击中扮演了重要角色: 这两名俄罗斯人分别是 Artur Sungatov 和 Ivan Gennadievich Kondratyev(又称 "Bassterlord")。
根据 Analyst1 的一份报告,Bassterlord 在网络犯罪生态系统中非常有名,据称他曾为新晋犯罪分子制作培训材料,并参加过多次访谈。在接受 ”Click Here“播客采访时,Bassterlord 说他更喜欢用 ”Ivan“ 这个名字,他是乌克兰人,而且他已经退出了犯罪生涯。
莱瑟曼将这两个人描述为“至少来自 LockBit 1.0 的原始成员”。
像 LockBit 这样的勒索软件集团通常采用联盟模式运作,通过该模型,中央实体控制勒索软件运行的基础设施,租赁对该系统的访问权限,然后从所谓的“附属机构”使用该基础设施运行的业务中分配利润。
Sungatov 和 Kondratiev 仍然在逃,在周二的起诉书中,美国财政部对他们实施了制裁。美国国务院还将宣布,如果提供线索能够确认任何 LockBit 领导者的身份或位置,最高可获得 1000 万美元的奖励,如果提供线索能够确认参与 LockBit 勒索软件活动的个人,最高可获得 500 万美元的奖励。
本月早些时候,美国国务院针对与ALPHV/BlackCat和Hive勒索软件操作相关的信息提供了类似的奖励。
针对 LockBit 的取缔行动引发了人们对其持久性的质疑。此前针对这些团体的行动曾导致其行动暂时中断,直到这些团体使用新的基础设施返回。12 月,FBI 查封了 ALPHV 的部分基础设施,但该组织“将其解开”,并且该网站的一个版本仍然处于活动状态。
莱瑟曼拒绝透露针对 LockBit 的行动的具体细节,但表示这些行动“以与 BlackCat 完全不同的方式破坏了 LockBit 背后的基础设施”。莱瑟曼表示,变体总是有可能“重组”,但“LockBit 将无法重新获得对攻击者所使用的服务器的控制权。”
他补充说,两项调查仍在进行中。FBI鼓励认为自己是LockBit受害者的实体访问FBI建立的新登陆页面。
周二公布的起诉书标志着自 2022 年以来针对被指控的 LockBit 关联公司的第四起和第五起案件。34 岁的米哈伊尔·瓦西里耶夫 (Mikhail Vasiliev) 是俄罗斯和加拿大双重公民,于 2022 年 11 月在加拿大被捕。他于2 月 8 日在加拿大承认网络勒索和武器指控,并等待引渡到美国。
俄罗斯公民鲁斯兰·马戈梅多维奇·阿斯塔米罗夫 (Ruslan Magomedovich Astamirov)因涉嫌参与 LockBit 攻击而于 2023 年 6 月在亚利桑那州被捕。
另一位俄罗斯公民米哈伊尔·帕夫洛维奇·马特维耶夫 (Mikhail Pavlovich Matveev) 又名 Wazawaka,于 2023 年 5 月因参与勒索软件攻击而被起诉,其中包括 LockBit 恶意软件以及 Babuk 和 Hive 勒索软件变种。美国国务院悬赏高达 1000 万美元,奖励提供导致他被捕的信息。