今天,美国联邦调查局(FBI)、英国国家犯罪署(NCA)和欧洲刑警组织(Europol)公布了对 LockBit 勒索软件操作管理员的起诉和制裁,并首次披露了俄罗斯威胁行为者的身份。
根据美国司法部的新起诉书和 NCA 的新闻稿,被称为“LockBitSupp”和“putinkrab”的 LockBit 勒索软件运营者已被确认为俄罗斯公民,名叫 Dmitry Yuryevich Khoroshev,31 岁,来自俄罗斯沃罗涅日, 据报道,俄罗斯通过该团伙的活动赚取了 1 亿美元。
NCA宣布:“FCDO 今天与美国财政部外国资产控制办公室 (OFAC) 和澳大利亚外交部一起宣布了对 LockBit 勒索软件组织的管理员和开发者、俄罗斯公民德米特里·霍罗舍夫 (Dmitry Khoroshev)的制裁。 “
“霍罗舍夫,又名 LockBitSupp,靠匿名而发家,并向任何能透露其身份的人悬赏 1000 万美元,现在将受到一系列资产冻结和旅行禁令。”
今天的公告还包括对霍罗舍夫的制裁,包括资产冻结和旅行禁令。
“LockBit 的管理者和开发者是一名俄罗斯人,目前正受到英国外交、联邦和发展办公室、美国财政部外国资产控制办公室(OFAC)以及澳大利亚外交和贸易部发布的一系列资产冻结和旅行禁令的制裁。”欧洲刑警组织的一份声明中写道。
这些制裁将对勒索软件的运作造成大规模破坏,因为支付赎金可能会违反制裁,并对公司处以政府罚款。
过去,类似的制裁导致一些勒索软件谈判者不再协助为受制裁的勒索软件操作支付赎金。
作为”正义悬赏“计划的一部分,美国还悬赏 1000 万美元,奖励提供线索导致 LockBitSupp 被捕和/或定罪的人。
执法部门还宣布,通过对 LockBit 基础设施的黑客攻击和扣押,他们获得了比之前公布的更多的解密密钥。
另外五名 LockBit 成员已被美国政府指控,包括 Artur Sungatov、Ivan Kondratyev (Basserlord)、Ruslan Magomedovich Astamirov、Mikhail Matveev (Wazawaka) 和 Mikhail Vasiliev。
米哈伊尔·瓦西里耶夫此前被捕并被判处四年监禁,而鲁斯兰·阿斯塔米罗夫则被拘留候审。
LockBit的兴衰
LockBit 勒索软件即服务 (Raas) 操作于 2019 年 9 月启动,最初称自己为“ABCD”,后来更名为 LockBit。
该网络犯罪活动开发并维护了加密器、基于Tor网络的暗网谈判和数据泄露网站,并招募附属机构或“广告”来入侵企业网络、窃取数据和加密设备。
作为这种安排的一部分,LockBit 运营商赚取任何赎金付款的约 20%,其余部分由附属机构保留。
该行动由名为 LockBitSupp 的公开运营者负责,他现在被称为 Khoroshev,他经常光顾俄语黑客论坛,并热衷于与记者和研究人员谈论他的犯罪集团。
虽然最初声称在中国开展业务,但今天的爆料表明 LockBitSupp 是俄罗斯公民,这一点并不令人意外。
LockBit 很快成为最大、最活跃的勒索软件团伙,截至 2024 年 2 月,该团伙的数据泄露网站和 194 个附属机构不断宣布新受害者。
然而,在 2 月份,该勒索软件团伙遭受了重大破坏,因为一场名为“克罗诺斯行动”的执法行动摧毁了 LockBit 的基础设施,包括托管数据泄露网站、其镜像和附属面板的 34 台服务器。 该行动还允许执法部门恢复从受害者那里窃取的数据、加密货币地址、解密密钥以及有关该团伙的许多其他信息。
虽然执法部门最初表示,作为克罗诺斯行动的一部分,他们能够获得 1,000 个解密密钥,但今天的公告显示,他们能够获得额外的 1,500 个解密密钥,并继续帮助 LockBit 受害者免费恢复文件。
英国国家犯罪署分析了扣押的数据后表示,LockBit 向全球数千家公司勒索了 10 亿美元,司法部表示霍罗舍夫及其附属机构勒索了超过 5 亿美元的赎金。
执法部门声称,2022 年 6 月至 2024 年 2 月期间,该勒索软件行动发起了 7,000 多次攻击,受攻击最多的五个国家是美国、英国、法国、德国和中国。
LockBit 至今仍在继续运营,瞄准新的受害者,并于最近发布了大量新旧数据。 然而,NCA 报告称,克罗诺斯行动导致附属机构大规模外流,导致活跃成员数量从 194 人下降至 69 人,因为威胁行为者对领导层失去了信任。
虽然 LockBitSupp 可能会试图通过泄露从受害者那里窃取的更多敏感数据来报复美国和英国当局,但这很可能是勒索软件进入最后日子时的最后一口气。
自 2012 年第一个名为 ACCDFISA 的现代勒索软件开始对受害者进行加密以来,臭名昭著的 CryptoLocker 紧随其后,相同的威胁行为者一直在以不同的勒索软件名称进行操作。
虽然这些执法行动可能会导致 LockBit 勒索软件操作被关闭,但我们将来可能会看到相同的威胁行为者以新名称继续其活动。