專論》歐美日12國執法機構 成功瓦解全球最大勒索病毒集團LockBit

全球最大國際駭客集團「LockBit」利用勒索軟體對世界各地企業發動網路攻擊。   圖:取自FBI官網
全球最大國際駭客集團「LockBit」利用勒索軟體對世界各地企業發動網路攻擊。 圖:取自FBI官網

[Newtalk新聞] 對於利用勒索軟體(要求支付贖金的病毒)對世界各地企業發動網路攻擊的全球最大國際駭客集團「LockBit」,目前國際正逐漸收緊包圍網。

今(2024)年 10 月,歐洲執法機構在歐美日共 12 個國家的共同參與下,逮捕了 4 名開發勒索軟體的嫌犯。除了打擊犯罪以外,日英美還開發了可以復原因勒索軟體攻擊而遭加密之資料的工具,為受害者提供支援。

根據歐洲刑警組織(Europol)在 10 月 1 日發布的消息,除了開發勒索軟體的嫌疑人以外,還有為 LockBit 提供難以追查的伺服器服務管理者以及涉及洗錢的個人被逮捕。此外,也查封了 LockBit 的伺服器。

據 Europol 的說明,LockBit 最早出現在 2019 年底,最初稱自己為「ABCD」勒索軟體。此後,它迅速發展,並於 2022 年成為全球最廣泛使用的勒索軟體變體。造成全球至少 10 億歐元的損失。

加密受害企業資料 以解除加密勒索贖金

LockBit 自 2020 年開始,以「勒索軟體即服務(RaaS,Ransomware as a Service )」的方式營運,即開發惡意軟體並經營服務網站,同時將其程式碼授權給發動攻擊的附屬機構去執行。

這些攻擊會加密受害企業的資料,並以解除加密為條件勒索贖金,如果為滿足其要求,還會威脅公開其所竊取到的資料。

LockBit 的攻擊行為遍佈全球,他們招募了數百家附屬機構使用 LockBit 工具和基礎設施(伺服器等)操作勒索軟體。贖金由 LockBit 核心團隊和附屬公司分配,平均收到贖金的四分之三。

針對 LockBit,英國國家打擊犯罪局(NCA)主導了一項名為「克羅諾斯行動」(Operation Chronos)的計劃,並透過 Europol 的協調與歐美日的執法機構合作。

今年2月參與「克羅諾斯行動」(Operation Chronos)的國家。核心成員包含澳洲、加拿大、法國德國、日本、尼德蘭(荷蘭)、英國、美國、瑞典及瑞士。還有來自芬蘭、波蘭、紐西蘭和烏克蘭的參與。<br>(圖/Europol)
今年2月參與「克羅諾斯行動」(Operation Chronos)的國家。核心成員包含澳洲、加拿大、法國德國、日本、尼德蘭(荷蘭)、英國、美國、瑞典及瑞士。還有來自芬蘭、波蘭、紐西蘭和烏克蘭的參與。
(圖/Europol)

勒索攻擊超過7000起 美英法德中受攻擊最嚴重

「克羅諾斯行動」在今年 2 月逮捕了 2 名 LockBit 相關人員,關閉了分散在歐美各地的 34 台伺服器,並凍結 200 多個與 LockBit 有關的加密貨幣帳戶。

5 月進入到「克羅諾斯行動」的第二階段,英美澳等國家對 LockBit 一名俄羅斯籍的管理員和開發者 Dmitry Khorshev,發布了一系列資產凍結和旅行禁令的制裁。前述 10 月發布的消息則是這項行動第三階段所取得的進展。

LockBit 的犯罪行為的真正影響範圍尚不明確,但從其系統中獲得的數據顯示,從 2022 年 6 月到 2024 年 2 月,利用其服務發動的攻擊超過 7,000 起。受攻擊最嚴重的五個國家分別是美國、英國、法國、德國和中國。

利用 LockBit 勒索軟體攻擊的對象針對各種規模的組織,涵蓋金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等關鍵基礎設施領域。

今年2月Operation Chronos取得的成果,有超過10個國家參與,逮捕了兩名LockBit相關人員、凍結了200個加密貨幣帳戶、查封34個伺服器、移除了超14,000 個負責數據外洩或基礎設施的惡意帳戶,並接管了技術基礎設施和洩密網站。<br>(圖/Europol)
今年2月Operation Chronos取得的成果,有超過10個國家參與,逮捕了兩名LockBit相關人員、凍結了200個加密貨幣帳戶、查封34個伺服器、移除了超14,000 個負責數據外洩或基礎設施的惡意帳戶,並接管了技術基礎設施和洩密網站。
(圖/Europol)

LockBit難以東山再起 全球對抗網路威脅的一大邁進

據全球網路資安領導廠商「趨勢科技」(Trend Micro Inc.)的說法,光是 LockBit 這一個集團就大約包辦了全球四分之一的勒索病毒攻擊。

趨勢科技在今年 4 月評價「Operation Cronos」的執法行動是前所未有的,並象徵全球對抗網路威脅的一大邁進。

趨勢科技表示,2 月的 Operation Cronos 在許多方面都與傳統執法機關破獲犯罪組織的方式有所不同。因為這次行動不單只是暫時性打擊犯罪集團的銳氣,而是藉由決定性的一擊,癱瘓他們的基礎架構、削弱他們的營利機制、曝光他們的加盟夥伴,更讓他們因為身敗名裂而在自己的地盤上混不下去。

而且這項長期耕耘的行動已使得 LockBit 在自己經營的犯罪網路以及在整個網路犯罪圈內聲名狼藉,難以東山再起。

該集團的領導者「Lockbitsupp」也遭到兩大熱門地下論壇 XSS 與 Exploit 封鎖。

儘管 LockBit 一直嘗試在洋蔥網路(利用層層加密包裝的方式實現匿名溝通的技術)上重建新的資料外洩網站(Leaked Data,用於公開竊取來的資料),但根據趨勢科技的監測資料顯示,自從該集團(在 2 月)遭破獲之後,駭客攻擊成功的案例就變得相當有限。

LockBit用來公開外洩資料的網站已被英國國家打擊犯罪局和美國聯邦調查局控制。<br>(圖/Europol)
LockBit用來公開外洩資料的網站已被英國國家打擊犯罪局和美國聯邦調查局控制。
(圖/Europol)

趨勢科技指出,儘管有數十家受害者被公布在新的 LockBit 資料外洩網站上,但其中絕大多數都只是重新上傳他們先前的戰果,或是其他犯罪集團 (如 ALPHV) 的受害者。

Operation Cronos 的主要成就:

  • 破壞 LockBit 名聲:由於聲譽受損,LockBit 在重建營運與加盟網路時將面臨重大挑戰。

  • 策略性切斷基礎架構:該行動採取深入虎穴的作法,使 LockBit 重建與重新整隊的過程將備受艱辛且耗時,任何可能東山再起的機會都因而延後。

  • 達成有效遏阻:深入掌握該集團加盟夥伴的活動,並發出後續警告,已使得 LockBit 的加盟計畫可能胎死腹中,進一步削弱其營運量能。

  • 提升企業安全性:趨勢科技客戶也因這次行動的斬獲而受惠,減少了遭到勒索病毒市場龍頭攻擊的風險。(引用自趨勢科技

日媒《產經新聞》引述參與此行動的日本警察廳負責人表示:「雖然正在收緊包圍網,但尚未達到徹底殲滅的程度。」他強調,未來各國將繼續加強合作打擊。

「No More Ransom」免費協助復原被加密的資料

在 Europol 的支持下,日本警察廳、英國國家打擊犯罪局和美國聯邦調查局專注於開發旨在恢復被 LockBit 勒索軟體加密文件的解密工具。

目前勒索軟體攻擊仍然是最大的網路犯罪威脅,來自網路安全領域的支持,在減少勒索軟體攻擊所造成的損害方面也發揮了關鍵作用。參與行動的各國執法機構已經藉由「No More Ransom」(不再付贖金)網站提供了針對多種類型勒索軟體的解密工具。

「No More Ransom」平台上免費提供超過 120 種解決方案,並支援 37 種語言,能夠解密超過 150 種不同類型的勒索軟體。迄今為止,全球已有超過 600 萬名受害者從「No More Ransom」中受益。

《產經新聞》提到,據警察廳表示自今年 2 月以來,日本國內約有 10 家公司成功復原部分資料,其他國家也有復原成功的案例。

由於支付贖金並不保證能解鎖加密或拿回被竊走的資料,因此 Europol 也呼籲絕對不要支付贖金。

<a href="https://www.nomoreransom.org/" rel="nofollow noopener" target="_blank" data-ylk="slk:No More Ransom;elm:context_link;itc:0;sec:content-canvas" class="link ">No More Ransom</a>平台網站提供37種語言,包含繁體中文。<br>(圖/網站截圖)
No More Ransom平台網站提供37種語言,包含繁體中文。
(圖/網站截圖)

有「國家」涉入? 前蘇聯國家已成網路犯罪調查死角

LockBit 的威脅遍及全球,除了有一名俄羅斯籍的領導者以外,其他主要成員也自稱來自俄羅斯或前蘇聯地區。

此外,還有其他疑似與俄羅斯相關的駭客集團也在活動,對西方國家來說,前蘇聯地區是聯合調查的「空白地帶」,這使這些駭客得以躲過掃蕩。

《產經新聞》提到,LockBit 公開在其資料外洩網站上的一份文件裡提到「大多數開發者和合作夥伴,都出生並成長於曾是世界最大國家的蘇聯」。

該文件統整了提供給攻擊執行者的注意事項,其中包含「禁止攻擊後蘇聯國家」,並列出俄羅斯、以及位於中亞和東歐的國家。儘管其聲稱以荷蘭為據點,但也不掩飾其與前蘇聯地區的關聯。

延伸閱讀:日本知名遊戲公司卡普空碰上 FBI 懸賞 500 萬美元的俄羅斯駭客?

在日本,今年夏天自稱對大型出版商「KADOKAWA」發動大規模網路攻擊的「BlackSuit」駭客集團,也被認為在俄羅斯周邊擁有據點。

趨勢科技的資安傳道師(Security Evangelist)岡本勝之表示:「這些駭客集團的特點是,不對俄羅斯及前蘇聯國家發動攻擊,他們可能在這些地區設有據點。」

BlackSuit 被認為和與前蘇聯有關的「Conti」、「Royal」等駭客集團有相同淵源,活動歷史悠久。

岡本進一步指出:「前蘇聯國家並未與日美歐等西方國家進行互助調查,這使得攻擊者即便在這些地區設有據點,只要不攻擊當地,就不會被揭發。」他還表示,雖然不清楚這些集團是否有國家機關涉入,但這顯然是攻擊者選擇在該地區設立據點的主要原因。

作者:陳怡菱,報呱副主編。

本文轉載自報呱

延伸閱讀:
受夠了網路勒索攻擊 澳洲擬立法禁止支付贖金給駭客
蒲亭報復制裁?還是為更大的一盤棋?日本豐田零件供應商遭勒索病毒攻擊
日本警察廳擬設網路局 專責國家級駭客網路犯罪
頻遭駭客勒索攻擊 美國網戰司令部計畫反制
以駭客突破經濟制裁 全世界都是金正恩的ATM?

參考新聞連結:
2024/04/16 趨勢科技公佈勒索病毒集團 LockBit 犯罪細節讓駭客無所遁形
2024/10/24 産経 日米欧で進む「国際ハッカー集団」包囲網 共同捜査でメンバーら逮捕、日本の警察庁も貢献
2024/10/01 Europol LockBit power cut: four new arrests and financial sanctions against affiliates
2024/05/07 Europol New series of measures issued against the administrator of LockBit
2024/02/20 Europol Law enforcement disrupt world’s biggest ransomware operation

查看原文

更多Newtalk新聞報導
高雄萬聖節正式起跑 超大南瓜怪燈光秀首日吸破2萬民眾到場
左營海軍基地哨兵交接傳槍響 一海陸士兵自戕身亡