俄罗斯的LockBit受到干扰但并未死亡，黑客专家警告-彭博社

两人被捕。28台服务器被扣押。获得了1000个解密密钥，可以帮助全球的黑客受害者恢复他们的数据。

周二宣布了针对与俄罗斯有关的黑客团伙LockBit的打击，据一些估计，LockBit负责四分之一的勒索软件攻击，这被英国、美国和欧洲的执法机构描述为他们对犯罪黑客所造成的最严重打击之一。在最近几个月里，LockBit和其他团体不断发动重大攻击，通过加密软件锁定受害者的计算机系统并窃取他们的敏感数据，造成了全球性的灾难。打击也凸显了同一执法机构所承认的打击网络犯罪永无止境的性质。即使像LockBit这样的黑客团体遭受了毁灭性的打击，他们往往会迅速重组并重新发动攻击。

英国国家犯罪局局长格雷姆·比加尔在伦敦举行的新闻发布会上表示：“我们并没有逮捕与LockBit有关的所有人——这是一个长期的过程。现在所有人都知道我们在追踪他们，他们将永远活在恐惧之中。”格雷姆·比加尔说。

阅读更多： 中国工商银行遭黑客攻击，背后是雇佣黑客团伙

周二宣布的行动包括在波兰和乌克兰逮捕了两名涉嫌LockBit成员；美国起诉了另外两名涉嫌成员，尽管他们位于俄罗斯，不太可能被引渡；查封了与该团伙有关的28台服务器和大约200个加密货币账户；对于LockBit的成千上万受害者来说，最重要的是恢复了解密密钥，现在可以用来解锁被劫持的数据。

许多网络安全专家赞扬了这一跨国努力的广泛和积极性，认为这一努力很可能会给一个与近年来最具破坏性和代价高昂的网络攻击同义的团伙造成重大挫折。然而，一些人也警告说，类似打击的最近历史表明，黑客很快就会东山再起。

“Lockbit网站的瘫痪和关闭很可能是执法部门进行的最重大的网络行动之一，”多伦多勒索软件应对和谈判公司Cypfer的首席运营官Ed Dubrovsky说道，他提到了逮捕行动、执法部门查获的数据量以及计划使用解密工具。

不过，他警告说，对该组织及其领导层的最终影响尚不确定：“扰乱LockBit在威胁格局上的主导地位，必须包括对财务和人员的干扰，以及帮助目前处于某种悬而未决状态的受害者的能力。”

近年来，其他勒索软件团伙，如Hive和Conti，也面临了类似的执法行动。但据网络安全研究人员称，该团伙成员只是简单地改头换面，以其他名称重新组建，然后继续进行攻击。在对LockBit最新打击的余波中，该团伙的发言人已经宣称该团伙将重建其服务器，并吹嘘说并非所有该团伙的网站都被当局关闭，据彭博新闻报道。

黑客重返网络犯罪的原因很简单：勒索软件很赚钱，而被捕的机会相对较小。许多参与黑客团伙的人居住在俄罗斯或其他西方执法机构无法触及的司法管辖区。

“执法部门以往对黑客的打击似乎并没有从根本上遏制网络勒索的持续和增长，” 法国电信公司橙色SA的网络安全部门Orange Cyberdefense的网络安全研究负责人查尔·范德瓦尔特说。该公司提供的数据显示，近年来对这类团伙的逮捕、摧毁和其他行动之后，攻击数量和公开披露的受害者数量实际上都有所增加。“在每次报道的执法干预之后，泄露网站上在干预后三个月内仍然出现了大量受害者。”

来源：Orange CyberdefenseLockBit运营的一个显著特点是其极其成功的特许经营模式，它将其黑客工具许可给第三方（称为联盟成员），由他们进行攻击并分享勒索所得的一部分利润。洛杉矶加利福尼亚州的网络安全公司Resecurity Inc.的首席执行官Gene Yoo表示，这个联盟成员网络非常广泛，因此很难完全摧毁该团伙。

“这是一个通过勒索软件变现访问权限的庞大社区，” 他说。“他们重新组织只是时间问题。”

LockBit自2020年成立以来，已成为全球最多产的勒索软件团伙。该团伙在对高知名度公司发动破坏性攻击后声名鹊起，包括中国工商银行、英国皇家邮政、金融软件公司ION Trading UK和波音公司。它总共发动了超过1700次攻击，并从受害者那里勒索了9100万美元，根据美国网络安全和基础设施安全局的说法。

阅读更多： LockBit黑客背后的ION侵入也袭击了皇家邮政、医院

该团伙以窃取内部数据并加密受害者的计算机而闻名，使其无法使用。然后，他们要求支付赎金以换取解锁计算机并不公开被窃取的数据。LockBit的以俄语为母语的领导者利用一群附属黑客的网络，使用LockBit的恶意软件和基础设施进行攻击。然后，他们分赃从通过勒索获得的任何资金中。

“在一个竞争激烈且残酷的市场中，LockBit崛起成为最多产和最主导的勒索软件运营商，”亚特兰大的网络安全公司SecureWorks Corp.的威胁研究副总裁唐·史密斯表示，根据其提供的数据，LockBit在接管时拥有全球勒索软件市场约25%的份额，根据其数据泄露网站上确定的受害者数量。它将勒索软件视为全球商机，并相应地调整了其运营，通过附属黑客以一种简直压倒其他运营的速度扩张。”

注册Cyber Bulletin通讯*，获取独家报道，深入揭秘黑客和网络间谍的世界，以及企业如何进行防御。*

美国司法部此前起诉了三名涉及LockBit的涉嫌黑客。米哈伊尔·瓦西里耶夫 – 一名持有俄罗斯和加拿大双重国籍的人 – 在2022年10月在加拿大被捕。紧随其后的是2023年5月，对据称是LockBit成员的俄罗斯籍米哈伊尔·马特维耶夫提起了起诉。第三名嫌疑人，俄罗斯国籍的鲁斯兰·阿斯塔米罗夫，于2023年6月在亚利桑那州被捕，被指控与LockBit合作，瞄准美国、亚洲、欧洲和非洲的公司。

尽管有人被捕，LockBit仍在不断进行大规模的攻击，几乎每天都在其暗网页面上添加新的受害者，突显了执法部门在瓦解该团伙方面所面临的困难。

约翰·福克，荷兰国家警察高科技犯罪调查团队的前主管，表示像对付LockBit这样的行动不仅仅关乎第一次逮捕和对犯罪网站的查封等直接影响。它们还为执法部门提供了有价值的数据，以便继续调查其他成员，这可能是一个强有力的威慑。

“很多人往往忘记的是，勒索软件不仅仅是要打击头目，还有个别的从犯，”现任加利福尼亚州米尔皮塔斯的网络安全公司Trellix Corp的威胁情报负责人Fokker说道。“要逮捕所有人很难，但是营造一个不安全的环境也是相当有效的。网络犯罪在犯罪分子感到安全经营的时候蓬勃发展，但是一旦这种安全感或信任被打破，它就会停止发展，甚至最大的帝国也会土崩瓦解。”