安全研究团队vx-underground引用了LockBit开发者的说法,指出这些执法机构是透过CVE-2023-3824安全漏洞攻陷他们的基础设施,这是个CVSS风险评分高达9.8的PHP漏洞,成功的攻击将可造成记忆体毁损或自远端执行程式。
由美国、英国等10个国家组成,并由欧洲刑警组织(Europol)负责居中协调的克罗诺斯行动(Operation Cronos),于周二(2/20)宣布已摧毁勒索软体LockBit的基础设施,包括关闭LockBit位于全球各个国家的34台伺服器,接管其技术基础设施及外泄网站,冻结逾200个与该犯罪组织有关的加密货币帐户,控制或删除了1.4万个负责渗透或与基础设施有关的流氓帐号,逮捕了2名嫌犯,美国也拘留两名LockBit服务的联盟伙伴(Affiliate),以及起诉两名共谋发动LockBit攻击的俄罗斯人。
LockBit勒索软体现身于2020年1月,为全球最活跃的勒索软体之一,它以勒索软体即服务(RaaS)的模式运作,由勒索软体组织的开发者负责设计软体,并招募联盟伙伴负责部署攻击,前者负责维护软体与控制台,后者则专门辨识并非法存取目标系统,在成功渗透目标对象之后,再利用控制台于受害网路部署LockBit。
该勒索软体集团采用三重勒索形式,除了传统的以加密及外泄机密资料作为要胁之外,还加上了分散式服务阻断攻击。
LockBit的攻击行动遍及全球,受害者包括航太龙头业者波音(Boeing)、中国工商银行、日本名古屋港及台积电供应商擎昊等,已知的受害者超过2,000家,得手的赎金超过1.2亿美元。相关的赎金由LockBit开发团队及联盟伙伴共享,后者平均取得赎金的75%。
参与克罗诺斯行动的国家包括美国、英国、法国、德国、荷兰、瑞典、澳洲、加拿大、日本与瑞士,并由Europol负责协调,在长达数月的行动中,Europol组织了27次的行动会议,以及4次为期一周的技术冲刺,各国执法机构也透过Europol的资讯通道SIENA交换上千则的行动资讯。
此次的行动是由有英国FBI之称的英国国家打击犯罪调查局(National Crime Agency,NCA)主导,亦由NCA接管LockBit的资料外泄网站,并说最近一周每天都会透过此一位于暗网中的LockBit网站来披露LockBit自家的能力及营运状况,也宣称已自LockBit的系统取得了该平台的原始码及大量情报,包括其合作对象及联盟伙伴。
NCA指出,他们在LockBit的系统上所发现的机密资料包括那些已支付赎金的企业,代表就算支付了赎金,骇客也不一定会依照承诺删除资料。
在克罗诺斯行动所关闭的34台伺服器中,有28台为LockBit联盟伙伴所有,其它的则是用来窃取及传输受害者资料的Stealbit基础设施,它们散布在美国、英国、荷兰、德国、芬兰、法国、瑞士与澳洲。
除了成功入侵LockBit网路并摧毁其基础设施之外,NCA还取得了逾1,000个解密金钥,将在未来几天或几周用来协助英国受害者解密,而Europol则说相关的解密工具已于No More Ransom网站上免费供应。不过,目前(2/20)在No More Ransom网站上搜寻LockBit并无结果。
目前已有两名LockBit集团的成员分别在波兰及乌克兰遭到逮捕,而美国与法国则发出了3份的国际逮捕令及5份的起诉书。
安全研究团队vx-underground引用了LockBit开发者的说法,指出这些执法机构是透过CVE-2023-3824安全漏洞攻陷他们的基础设施,这是个CVSS风险评分高达9.8的PHP漏洞,成功的攻击将可造成记忆体毁损或自远端执行程式。