Bleeping Computer 網(wǎng)站消息，七個(gè)國(guó)家的執(zhí)法機(jī)構(gòu)與歐洲刑警組織和歐洲司法組織共同發(fā)起了一次聯(lián)合執(zhí)法行動(dòng)，成功在烏克蘭境內(nèi)逮捕了某勒索軟件組織的核心成員。

據(jù)悉，這些網(wǎng)絡(luò)犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索軟件發(fā)動(dòng)網(wǎng)絡(luò)攻擊活動(dòng)，導(dǎo)致大量企業(yè)運(yùn)營(yíng)癱瘓。歐洲司法組織稱，在入侵受害目標(biāo)系統(tǒng)后，該組織會(huì)偷偷潛伏起來(lái)(潛伏時(shí)間有時(shí)長(zhǎng)達(dá)數(shù)月)部署不同類型的勒索軟件，如 LockerGoga、MegaCortex、HIVE 或 Dharma，此后會(huì)向受害者“發(fā)送”一則贖金通知，要求受害者支付比特幣，以換取解密密鑰。

從分析結(jié)果發(fā)現(xiàn)，威脅攻擊者通過(guò)在暴力攻擊和 SQL 注入攻擊中竊取受害目標(biāo)的用戶憑證，以及使用帶有惡意附件的網(wǎng)絡(luò)釣魚電子郵件訪問(wèn)目標(biāo)網(wǎng)絡(luò)，一旦成功進(jìn)入，就會(huì)立刻使用 TrickBot 惡意軟件、Cobalt Strike 和 PowerShell Empire 等工具橫向移動(dòng)并入侵到其他系統(tǒng)，然后再觸發(fā)先前部署的勒索軟件有效載荷。

截至案發(fā)前，該勒索軟件團(tuán)伙已經(jīng)加密了大型企業(yè)的 250 多臺(tái)服務(wù)器，造成的損失超過(guò)數(shù)億歐元。值得一提的是，犯罪網(wǎng)絡(luò)組織內(nèi)分工十分明確，一些成員主要擔(dān)任破壞受害目標(biāo) IT 網(wǎng)絡(luò)的“重任”，一些成員主要“幫助”受害者支付加密貨幣，以解密被加密的文件。

烏克蘭勒索軟件團(tuán)伙被捕

鑒于該團(tuán)伙帶來(lái)的破壞力，來(lái)自挪威、法國(guó)、德國(guó)和美國(guó)的 20 多名調(diào)查人員協(xié)助烏克蘭國(guó)家警察在基輔開展調(diào)查。11 月 21 日，通過(guò)對(duì)基輔、切爾卡瑟、羅夫諾和文尼察 30 個(gè)地點(diǎn)的協(xié)同突襲，逮捕了該團(tuán)伙 32 歲的主謀，并抓獲了四名同伙。

歐洲刑警組織還在荷蘭設(shè)立了一個(gè)虛擬指揮中心，以處理在入室搜查中繳獲的數(shù)據(jù)。最終，烏克蘭國(guó)家警察局網(wǎng)絡(luò)警察表示，在 TOR 特別小組的支持下，執(zhí)法人員在基輔地區(qū)以及切爾卡瑟、羅夫諾和文尼察地區(qū)對(duì)嫌疑人的住宅和汽車進(jìn)行了 30 多次授權(quán)搜查，沒收了大量的計(jì)算機(jī)設(shè)備、汽車、銀行卡和 SIM 卡、'草稿'、數(shù)十種電子媒體和其他非法活動(dòng)證據(jù)和加密貨幣資產(chǎn)。

值得注意的是，此次抓捕行動(dòng)“繼承了” 2021 年的某執(zhí)法行動(dòng)，當(dāng)時(shí)警方拘留了12名嫌疑人，這些人大都來(lái)自同一勒索軟件團(tuán)伙的成員，該團(tuán)伙與針對(duì) 71 個(gè)國(guó)家 1800 名受害者的攻擊有關(guān)。正如兩年前調(diào)查顯示的結(jié)果一樣，威脅攻擊者部署了 LockerGoga、MegaCortex 和 Dharma 勒索軟件，還在攻擊中使用了Trickbot 等惡意軟件和 Cobalt Strike 等工具。

歐洲刑警組織和挪威相關(guān)機(jī)構(gòu)接下來(lái)的工作重點(diǎn)是是分析 2021 年在烏克蘭查獲的設(shè)備數(shù)據(jù)，以期幫助確定近期在基輔逮捕的其他嫌疑人的身份。

LockerGoga 和 MegaCortex 勒索軟件免費(fèi)解密程序

據(jù)悉，聯(lián)合執(zhí)法行動(dòng)由法國(guó)當(dāng)局于 2019 年 9 月發(fā)起，重點(diǎn)是在挪威、法國(guó)、英國(guó)和烏克蘭組成的聯(lián)合調(diào)查小組(JIT)的幫助下，在歐洲司法組織的財(cái)政支持下，與荷蘭、德國(guó)、瑞士和美國(guó)當(dāng)局合作，找到烏克蘭境內(nèi)的威脅攻擊者并將其繩之以法。參與的執(zhí)法機(jī)構(gòu)名單如下：

• 挪威：國(guó)家刑事調(diào)查局(Kripos)
• 法國(guó)：巴黎檢察官辦公室、國(guó)家警察局(Police Nationale - OCLCTIC)
• 荷蘭：國(guó)家警察局(Politie)、國(guó)家檢察院(Landelijk Parket, Openbaar Ministerie)
• 烏克蘭：總檢察長(zhǎng)辦公室 (Оф?с Генерального прокурора), 烏克蘭國(guó)家警察局 (Нац?ональна пол?ц?я Укра?ни)
• 德國(guó)：斯圖加特檢察官辦公室、羅伊特林根警察總部(Polizeipr?sidium Reutlingen)CID Esslingen
• 瑞士：瑞士聯(lián)邦警察局(fedpol)、巴塞爾-蘭茨查特警察局(Polizei Basel-Landschaft)、蘇黎世州檢察官辦公室、蘇黎世州警察局
• 美國(guó)：美國(guó)：美國(guó)特勤局 (USSS)、聯(lián)邦調(diào)查局 (FBI)
• 歐洲刑警組織：歐洲網(wǎng)絡(luò)犯罪中心 (EC3)
• 歐洲司法組織。

歐洲刑警組織指出，來(lái)自七個(gè)國(guó)家的執(zhí)法和司法機(jī)構(gòu)與歐洲刑警組織和歐洲司法組織聯(lián)手，在烏克蘭摧毀并逮捕了勒索軟件攻擊幕后的“元兇”。此外，通過(guò)法證分析，瑞士當(dāng)局還與 No More Ransom 合作伙伴和 Bitdefender 合作開發(fā)了 LockerGoga 和 MegaCortex 勒索軟件變種的解密工具。

參考文章：https://www.bleepingcomputer.com/news/security/police-dismantle-ransomware-group-behind-attacks-in-71-countries/