黑猫、LockBit勒索软件团伙混乱，全球当局打击行动 - 彭博社

黑猫和LockBit团伙通过采用勒索软件即服务模式蓬勃发展。

摄影师：Joe Raedle/Getty Images全球最臭名昭著的两个勒索软件团伙正在崩溃，留下一些备受关注的受害者，同时在网络犯罪地下世界制造混乱。

在过去几年里，黑猫和LockBit团伙通过采用勒索软件即服务模式蓬勃发展，将他们的恶意软件租借给附属黑客，以攻击成千上万的受害者并获得数百万的勒索款项。在美国和其他地方的当局查封了LockBit和BlackCat的网站后，这两个团伙的未来变得不确定，逮捕了涉嫌黑客，并嘲讽了其中一个团伙的领导者。

最近的一个例子是，LockBit团伙威胁要公布有关前总统唐纳德·特朗普的详细信息，据安全专家称。与此同时，一名BlackCat管理员在网上声称该团伙因据称的付款纠纷而关闭。

“这真的是一个压力锅般的情况，迫使他们以更加不稳定和不可预测的方式运作，”Palo Alto Networks Inc.的Unit 42威胁情报团队高级副总裁Wendi Whitmore说。

“攻击者感受到了压力，受到了基础设施中的干扰、要求受害组织调整其安全工作的新法规以及增强的安全检测能力的影响，”她说。

很少有人准备宣布胜利。勒索软件黑客 — 其中许多人位于俄罗斯或其他美国执法部门无法触及的国家 — 通常会加入另一个网络犯罪组织或开始一个新的。

“这不会消失，”网络安全公司 Crowdstrike Holdings Inc. 的首席执行官乔治·库尔兹在接受彭博新闻采访时表示。“他们只会重新组建。”

阅读更多： 俄罗斯的LockBit受到干扰但并未消亡，专家警告

尽管如此，美国及其盟友为阻止网络犯罪分子所做的努力取得了重要的里程碑，专家表示，这两个造成如此大规模破坏的团伙的削弱标志着一个重要的里程碑。

“过去，这些团体几乎可以完全不受惩罚地运作。但现在不再是这样了，”网络安全公司Emsisoft的威胁分析师布雷特·卡洛说。

BlackCat团伙被指与对 德国燃料库、英国医院集团、MGM度假村国际以及最近的Change Healthcare有关，后者是保险巨头UnitedHealth Group Inc.

去年12月，美国当局查封了BlackCat的网站，并提供了解密工具，帮助受害者恢复其计算机网络。这类查封对于那些出租其恶意软件的团伙尤其具有破坏性，因为附属机构可能担心执法部门已经渗透进来，根据Analyst1的首席安全策略师乔恩·迪马吉奥的说法。在查封之后，一名BlackCat管理员 敦促附属机构瞄准医院。

阅读更多： 美国夺取BlackCat勒索软件网站，提供解密工具

该组织对Change Healthcare的黑客攻击于2月21日被发现，并导致美国医疗保健系统出现重大混乱，这些问题可能会随着Change系统长时间停机而变得更糟。UnitedHealth于3月7日表示，负责支付和医疗索赔的部分网络将于三月中旬恢复在线，而电子处方服务现已恢复。

目前尚不清楚是否支付了赎金。然而，据一位知情人士透露，有2200万美元存入与BlackCat相关的加密货币钱包。这笔存款被Wired先前报道。

UnitedHealth尚未就是否支付赎金发表评论。一名BlackCat的附属成员抱怨他没有收到Change Healthcare赎金的份额，该组织的一名代表表示他们正在关闭，根据网络安全博客KrebsonSecurity的报道。

LockBit自2020年初以来一直活跃，并已针对2000多名受害者，根据美国司法部的说法。其过去的受害者包括中国工商银行、ION Trading UK、英国皇家邮政和波音公司。

LockBit试图恢复其犯罪行为，而不是停止运营。它继续威胁来自对乔治亚州富尔顿县的黑客攻击，该攻击发生在执法行动之前。这起攻击是在一月份发现的，导致电话大面积中断和居民无法支付水电费。警长办公室不得不依赖纸质表格来处理进出监狱的人员，选民登记也暂时关闭。

该县在周二的一份声明中表示，“继续经历影响多个系统的意外IT中断。”

富尔顿县地方检察官法尼·威利斯表示，特朗普的案件不受侵害。“所有与选举案件有关的材料都保存在一个单独的、高度安全的系统中，该系统没有被黑客入侵，设计得使任何未经授权的访问极其困难，甚至不可能，”她在一月份对美联社的声明中说。威利斯办公室的代表未回应彭博社有关黑客攻击的询问。

LockBit威胁要在网上发布从该县窃取的敏感信息，包括有关特朗普的信息。但最后期限过去了，没有任何披露。县官员否认支付赎金，并表示他们将继续与联邦调查局合作，并进行自己的调查。

“这表明他们的实力较弱，因为他们必须使用如此不可思议的虚张声势来试图从中获取金钱，”网络安全公司威胁情报分析师艾伦·利斯卡说。未来记录公司

像其他被执法部门瓦解的团伙一样，LockBit将不得不说服附属团体他们可以信任，以完全恢复运营。

“我的意思是，他们是我们一直在追踪的运行时间最长的勒索软件变种，”Chainalysis Inc.的网络威胁情报负责人Jackie Burns Koven说道。“我不知道他们会不会那么轻易放弃。”