專論》歐美日12國執法機構 成功瓦解全球最大勒索病毒集團LockBit
Newtalk新聞
對於利用勒索軟體(要求支付贖金的病毒)對世界各地企業發動網路攻擊的全球最大國際駭客集團「LockBit」,目前國際正逐漸收緊包圍網。
今(2024)年 10 月,歐洲執法機構在歐美日共 12 個國家的共同參與下,逮捕了 4 名開發勒索軟體的嫌犯。除了打擊犯罪以外,日英美還開發了可以復原因勒索軟體攻擊而遭加密之資料的工具,為受害者提供支援。
根據歐洲刑警組織(Europol)在 10 月 1 日發布的消息,除了開發勒索軟體的嫌疑人以外,還有為 LockBit 提供難以追查的伺服器服務管理者以及涉及洗錢的個人被逮捕。此外,也查封了 LockBit 的伺服器。
據 Europol 的說明,LockBit 最早出現在 2019 年底,最初稱自己為「ABCD」勒索軟體。此後,它迅速發展,並於 2022 年成為全球最廣泛使用的勒索軟體變體。造成全球至少 10 億歐元的損失。
加密受害企業資料 以解除加密勒索贖金
LockBit 自 2020 年開始,以「勒索軟體即服務(RaaS,Ransomware as a Service )」的方式營運,即開發惡意軟體並經營服務網站,同時將其程式碼授權給發動攻擊的附屬機構去執行。
這些攻擊會加密受害企業的資料,並以解除加密為條件勒索贖金,如果為滿足其要求,還會威脅公開其所竊取到的資料。
LockBit 的攻擊行為遍佈全球,他們招募了數百家附屬機構使用 LockBit 工具和基礎設施(伺服器等)操作勒索軟體。贖金由 LockBit 核心團隊和附屬公司分配,平均收到贖金的四分之三。
針對 LockBit,英國國家打擊犯罪局(NCA)主導了一項名為「克羅諾斯行動」(Operation Chronos)的計劃,並透過 Europol 的協調與歐美日的執法機構合作。
勒索攻擊超過7000起 美英法德中受攻擊最嚴重
「克羅諾斯行動」在今年 2 月逮捕了 2 名 LockBit 相關人員,關閉了分散在歐美各地的 34 台伺服器,並凍結 200 多個與 LockBit 有關的加密貨幣帳戶。
5 月進入到「克羅諾斯行動」的第二階段,英美澳等國家對 LockBit 一名俄羅斯籍的管理員和開發者 Dmitry Khorshev,發布了一系列資產凍結和旅行禁令的制裁。前述 10 月發布的消息則是這項行動第三階段所取得的進展。
LockBit 的犯罪行為的真正影響範圍尚不明確,但從其系統中獲得的數據顯示,從 2022 年 6 月到 2024 年 2 月,利用其服務發動的攻擊超過 7,000 起。受攻擊最嚴重的五個國家分別是美國、英國、法國、德國和中國。
利用 LockBit 勒索軟體攻擊的對象針對各種規模的組織,涵蓋金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等關鍵基礎設施領域。
LockBit難以東山再起 全球對抗網路威脅的一大邁進
據全球網路資安領導廠商「趨勢科技」(Trend Micro Inc.)的說法,光是 LockBit 這一個集團就大約包辦了全球四分之一的勒索病毒攻擊。
趨勢科技在今年 4 月評價「Operation Cronos」的執法行動是前所未有的,並象徵全球對抗網路威脅的一大邁進。
趨勢科技表示,2 月的 Operation Cronos 在許多方面都與傳統執法機關破獲犯罪組織的方式有所不同。因為這次行動不單只是暫時性打擊犯罪集團的銳氣,而是藉由決定性的一擊,癱瘓他們的基礎架構、削弱他們的營利機制、曝光他們的加盟夥伴,更讓他們因為身敗名裂而在自己的地盤上混不下去。
而且這項長期耕耘的行動已使得 LockBit 在自己經營的犯罪網路以及在整個網路犯罪圈內聲名狼藉,難以東山再起。
該集團的領導者「Lockbitsupp」也遭到兩大熱門地下論壇 XSS 與 Exploit 封鎖。
儘管 LockBit 一直嘗試在洋蔥網路(利用層層加密包裝的方式實現匿名溝通的技術)上重建新的資料外洩網站(Leaked Data,用於公開竊取來的資料),但根據趨勢科技的監測資料顯示,自從該集團(在 2 月)遭破獲之後,駭客攻擊成功的案例就變得相當有限。
趨勢科技指出,儘管有數十家受害者被公布在新的 LockBit 資料外洩網站上,但其中絕大多數都只是重新上傳他們先前的戰果,或是其他犯罪集團 (如 ALPHV) 的受害者。
Operation Cronos 的主要成就:
破壞 LockBit 名聲:由於聲譽受損,LockBit 在重建營運與加盟網路時將面臨重大挑戰。
策略性切斷基礎架構:該行動採取深入虎穴的作法,使 LockBit 重建與重新整隊的過程將備受艱辛且耗時,任何可能東山再起的機會都因而延後。
達成有效遏阻:深入掌握該集團加盟夥伴的活動,並發出後續警告,已使得 LockBit 的加盟計畫可能胎死腹中,進一步削弱其營運量能。
提升企業安全性:趨勢科技客戶也因這次行動的斬獲而受惠,減少了遭到勒索病毒市場龍頭攻擊的風險。(引用自趨勢科技)
日媒《產經新聞》引述參與此行動的日本警察廳負責人表示:「雖然正在收緊包圍網,但尚未達到徹底殲滅的程度。」他強調,未來各國將繼續加強合作打擊。
「No More Ransom」免費協助復原被加密的資料
在 Europol 的支持下,日本警察廳、英國國家打擊犯罪局和美國聯邦調查局專注於開發旨在恢復被 LockBit 勒索軟體加密文件的解密工具。
目前勒索軟體攻擊仍然是最大的網路犯罪威脅,來自網路安全領域的支持,在減少勒索軟體攻擊所造成的損害方面也發揮了關鍵作用。參與行動的各國執法機構已經藉由「No More Ransom」(不再付贖金)網站提供了針對多種類型勒索軟體的解密工具。
「No More Ransom」平台上免費提供超過 120 種解決方案,並支援 37 種語言,能夠解密超過 150 種不同類型的勒索軟體。迄今為止,全球已有超過 600 萬名受害者從「No More Ransom」中受益。
《產經新聞》提到,據警察廳表示自今年 2 月以來,日本國內約有 10 家公司成功復原部分資料,其他國家也有復原成功的案例。
由於支付贖金並不保證能解鎖加密或拿回被竊走的資料,因此 Europol 也呼籲絕對不要支付贖金。
有「國家」涉入? 前蘇聯國家已成網路犯罪調查死角
LockBit 的威脅遍及全球,除了有一名俄羅斯籍的領導者以外,其他主要成員也自稱來自俄羅斯或前蘇聯地區。
此外,還有其他疑似與俄羅斯相關的駭客集團也在活動,對西方國家來說,前蘇聯地區是聯合調查的「空白地帶」,這使這些駭客得以躲過掃蕩。
《產經新聞》提到,LockBit 公開在其資料外洩網站上的一份文件裡提到「大多數開發者和合作夥伴,都出生並成長於曾是世界最大國家的蘇聯」。
該文件統整了提供給攻擊執行者的注意事項,其中包含「禁止攻擊後蘇聯國家」,並列出俄羅斯、以及位於中亞和東歐的國家。儘管其聲稱以荷蘭為據點,但也不掩飾其與前蘇聯地區的關聯。
延伸閱讀:日本知名遊戲公司卡普空碰上 FBI 懸賞 500 萬美元的俄羅斯駭客?
在日本,今年夏天自稱對大型出版商「KADOKAWA」發動大規模網路攻擊的「BlackSuit」駭客集團,也被認為在俄羅斯周邊擁有據點。
趨勢科技的資安傳道師(Security Evangelist)岡本勝之表示:「這些駭客集團的特點是,不對俄羅斯及前蘇聯國家發動攻擊,他們可能在這些地區設有據點。」
BlackSuit 被認為和與前蘇聯有關的「Conti」、「Royal」等駭客集團有相同淵源,活動歷史悠久。
岡本進一步指出:「前蘇聯國家並未與日美歐等西方國家進行互助調查,這使得攻擊者即便在這些地區設有據點,只要不攻擊當地,就不會被揭發。」他還表示,雖然不清楚這些集團是否有國家機關涉入,但這顯然是攻擊者選擇在該地區設立據點的主要原因。
作者:陳怡菱,報呱副主編。
延伸閱讀:
受夠了網路勒索攻擊 澳洲擬立法禁止支付贖金給駭客
蒲亭報復制裁?還是為更大的一盤棋?日本豐田零件供應商遭勒索病毒攻擊
日本警察廳擬設網路局 專責國家級駭客網路犯罪
頻遭駭客勒索攻擊 美國網戰司令部計畫反制
以駭客突破經濟制裁 全世界都是金正恩的ATM?
參考新聞連結:
2024/04/16 趨勢科技公佈勒索病毒集團 LockBit 犯罪細節讓駭客無所遁形
2024/10/24 産経 日米欧で進む「国際ハッカー集団」包囲網 共同捜査でメンバーら逮捕、日本の警察庁も貢献
2024/10/01 Europol LockBit power cut: four new arrests and financial sanctions against affiliates
2024/05/07 Europol New series of measures issued against the administrator of LockBit
2024/02/20 Europol Law enforcement disrupt world’s biggest ransomware operation