近日，美、英、法等國針對 LockBit 勒索軟件組織發起一項名為“Cronos 行動”的聯合執法活動，成功逮捕多名組織核心成員，扣押大量資金和作案工具設備。目前，LockBit 數據泄露網站上赫然出現“該網站處于執法部門控制之下”的畫面。

安全研究機構 vxground 表示，聯合執法機構獲取了 LockBit 勒索軟件組織包括源代碼、攻擊受害者詳細信息、勒索金額、被盜數據、聊天記錄等在內的詳細信息，并控制了 LockBit 的管理平臺。此外，執法機構還在 LockBit 登錄頁面時，發布了呼吁其成員“自首”的通知。

執法機構共查獲了 34 臺 LockBit 服務器，識別并移除了超過 1.4 萬個惡意賬戶。（服務器大都位于荷蘭、德國、芬蘭、法國、瑞士、澳大利亞、美國和英國， LockBit 組織主要利用惡意帳戶托管攻擊中使用的工具和軟件，并存儲從公司竊取的數據）

另外一個好消息是，執法機構組織一批安全研究人員從被扣押的 LockBit 服務器中，整理出來 1000 多個解密密鑰，最終在這些解密密鑰基礎上，英國國家犯罪局（NCA）、聯邦調查局(FBI)以及歐洲刑警組織共同開發出了 LockBit 3.0 勒索軟件解密工具。

這一次 LockBit 勒索軟件真覆滅了嗎？

作為一個曾輕松擊穿波音公司網絡防御系統，在中美和歐洲各國互聯網世界隨意游走，LockBit 勒索軟件組織毫無疑問一定是近些年黑客世界的“王者“，從目前警方發布的信息以及其它勒索軟件的發展歷程來看，立刻判定此次執法行動將徹底顛覆 LockBit 勒索軟件組織為時尚早。

畢竟，LockBit 是近些年互聯網世界技術實力最強、活動最頻繁、危害最大的勒索軟件組織，再加上已經有  LockBit3.0 ”復活“的經驗，一次聯合執法行動很難徹底將其剿滅 。就在執法行動事件剛平息不久，業內就傳出了 LockBit 勒索軟件運營商向其附屬組織發布了安撫公告。

公告中強調，LockBit 勒索軟件組織的安全專家在發現遭受襲擊后立即展開調查，很快就找了原因，為防止類似數據泄露事故再次發生，請各個附屬機構盡快采取重置 LockBit 賬戶密碼、啟用 MFA 多因素認證、監控賬戶、留意賬戶狀態和信用報告中的異常活動等安全措施。

此外，多家媒體披露目前 LockBit 勒索軟件組織正在秘密構建一個命名為 LockBit NG Dev 的文件加密惡意軟件，新版本很可能會成為 LockBit 4.0。

趨勢科技安全研究人員發現新惡意軟件樣本中包含了一個 JSON 格式的配置文件，其中概述了執行參數，如執行日期范圍、贖金說明詳情、唯一 ID、RSA 公鑰和其他操作標志，主要使用 .NET 編寫的，似乎是用 CoreRT 編譯的，并裝有 MPRESS。

解密配置（來源：趨勢科技）

值得一提的是，趨勢科技方面表示新 LockBit NG Dev 的加密器缺乏此前迭代版本中的一些功能（例如在被攻破的網絡上自我傳播的能力、在受害者的打印機上打印贖金票據），但是也似乎正在處于最后開發階段，已經提供了大部分預期功能。

目前來看， LockBit NG Dev 勒索軟件支持三種加密模式（使用 AES+RSA），即 "快速"、"間歇 "和 "完全"，具有自定義文件或目錄排除功能，并能隨機化文件命名，使恢復工作復雜化。

以間歇模式加密的文件（來源：趨勢科技）

勒索軟件組織屢禁不止，異常猖獗的主要原因是其具有很強的隱秘性，警方最多只能逮捕到一兩個成員，控制一些服務器，卻難以抓獲幕后主使。就像上文 LockBit 勒索軟件一樣，盡管執法機構成功攻陷了LockBit 的主要犯罪網絡，但該軟件的開發者們很可能會在一段時間的沉寂后，披上一個新“馬甲”再度出現。

LockBit 勒索軟件組織犯下累累罪行

2019 年 9 月，LockBit 勒索軟件即服務（RaaS）首次浮出水面，此后便開始針對全球范圍內的眾多知名組織機構展開瘋狂的攻擊，包括英國皇家郵政、奧克蘭市、大陸汽車巨頭和意大利國稅局和美國多家銀行在內的知名企業、政府機構成為其受害者。2023 年 6 月，美國網絡安全當局發布的一份聯合公告顯示，自 2020 年以來，LockBit 勒索軟件團伙針對美國機構，發起了多達 1700次 的網絡攻擊，共勒索了至少 9100 萬美元。歐洲檢察官組織（Eurojust）也曾發布聲明稱，LockBit 勒索軟件已經侵害全球超 2500 多名受害者，凈賺了超過 1.2 億美元的非法利潤。（總贖金金額數目無法確認，也有機構稱 LockBit 至少獲取了數億美金）

Secureworks 的副總裁 Don Smith 曾表示 LockBit 是全球最主要的勒索軟件運營商，市占率接近 25%。本次聯合執法行動最大程度上打擊了 LockBit 組織的囂張氣焰， 不僅扣押該組織活動資金和核心成員，美國國務院還發布了針對 LockBit 勒索軟件團伙成員及其同伙的“懸賞令”，對提供線索的人士最高可支付 1500 萬美元的獎勵。

美國國務院甚至還設置了一個專門的 Tor SecureDrop 服務器，可用于匿名提交有關 LockBit 和其它被通緝的威脅攻擊者的線索。

目前來看，鑒于類似大多數 LockBit 的勒索軟件組織具有跨國性質和技術復雜性，犯罪活動具有很強的持續性以及變異性，可以輕松地避開單一打擊行動的限制，甚至重新組織并再次出現在網絡空間中。此外，勒索軟件組織的技術迭代以及應急響應比很多大型的網絡安全公司還要出色，能夠很好地找到并封堵執法機構進入其內部網絡通道。

再加上勒索軟件組織在暗處，種種情況疊加在一起，給執法機構帶來了巨大的挑戰和困難，因為執法人員不僅需要不斷追蹤和打擊威脅犯罪分子，還需要應對他們不斷更新的攻擊手段和技術。

面對這一局面，執法機構需要采取更加靈活和多樣化的打擊手段，包括加強國際合作、深入研究黑客組織的運作模式、加大對暗網和加密貨幣等新型犯罪手段的監管力度等。同時，加強對網絡安全的投入和監測，提高對潛在網絡攻擊的識別和預警能力。