美国联邦调查局 (FBI)、英国国家犯罪局和欧洲刑警组织公布了针对 LockBit 勒索软件操作管理人员的全面起诉和制裁,并首次披露了俄罗斯威胁行为者的身份。
根据美国司法部的新起诉书和 NCA 的新闻稿,被称为“LockBitSupp”和“putinkrab”的 LockBit 勒索软件运营商已被确认为俄罗斯公民,名叫 Dmitry Yuryevich Khoroshev,31 岁,来自沃罗涅日,据报道,俄罗斯通过该团伙的活动赚取了 1 亿美元。
“FCDO 今天与美国财政部外国资产控制办公室 (OFAC) 和澳大利亚外交部一起宣布了对 LockBit 勒索软件组织的管理员和开发者、俄罗斯公民德米特里·霍罗舍夫 (Dmitry Khoroshev)(如图)的制裁。事务,”国家犯罪局宣布。
“霍罗舍夫,又名 LockBitSupp,靠匿名而发家,并向任何能透露其身份的人悬赏 1000 万美元,现在将受到一系列资产冻结和旅行禁令。”
今天的公告还包括对霍罗舍夫的制裁,包括资产冻结和旅行禁令。
“LockBit 的管理员和开发商是俄罗斯公民,目前受到英国外交、联邦和发展办公室以及美国财政部外国资产控制办公室 (OFAC) 和澳大利亚外交和贸易部”,欧洲刑警组织的一份声明中写道。
这些制裁将对勒索软件的运作造成大规模破坏,因为支付赎金可能会违反制裁并对公司处以政府罚款。
过去,类似的制裁导致一些勒索软件谈判者不再协助为受制裁的勒索软件操作支付赎金。
作为正义奖励计划的一部分,美国还悬赏 1000 万美元,奖励那些导致 LockBitSupp 被捕和/或定罪的信息。
执法部门还宣布,他们对 LockBit 基础设施的黑客攻击和扣押使他们获得了比之前宣布的更多的解密密钥。
另外五名 LockBit 成员已被美国政府指控,包括 Artur Sungatov、Ivan Kondratyev (Basserlord)、Ruslan Magomedovich Astamirov、Mikhail Matveev (Wazawaka) 和 Mikhail Vasiliev。
米哈伊尔·瓦西里耶夫此前被捕并被判处四年监禁,而鲁斯兰·阿斯塔米罗夫则被拘留候审。
LockBit的兴衰
LockBit 勒索软件即服务 (Raas) 操作于 2019 年 9 月启动,最初称自己为“ABCD”,后来更名为 LockBit。
该网络犯罪活动开发并维护了加密器、Tor 协商和数据泄露网站,并招募附属机构或“广告”来入侵公司网络、窃取数据和加密设备。
作为这一安排的一部分,LockBit 运营商赚取了约 20% 的赎金,其余部分则由附属机构保留。
该行动由名为 LockBitSupp 的公开运营商运营,他现在被称为 Khoroshev,他经常光顾俄语黑客论坛,并热衷于与记者和研究人员谈论他的犯罪企业。
虽然最初声称在中国开展业务,但今天得知 LockBitSupp 是俄罗斯公民也就不足为奇了。
LockBit 很快成为最大、最活跃的勒索软件操作,截至 2024 年 2 月,该团伙的数据泄露网站和 194 个附属机构不断宣布新受害者。
然而,在 2 月份,勒索软件团伙遭受了重大破坏,因为一场名为“克罗诺斯行动”的执法行动摧毁了 LockBit 的基础设施,包括托管数据泄露网站、其镜像和附属面板的 34 台服务器。该行动还允许执法部门恢复从受害者那里窃取的数据、加密货币地址、解密密钥以及有关该团伙的许多其他信息。
虽然执法部门最初表示,作为克罗诺斯行动的一部分,他们能够获得 1,000 个解密密钥,但今天的公告显示,他们能够获得额外的 1,500 个解密密钥,并继续帮助 LockBit 受害者免费恢复文件。
英国国家犯罪局分析了扣押的数据后表示,LockBit 向全球数千家公司勒索了 10 亿美元,而美国司法部表示,霍罗舍夫及其附属机构勒索了超过 5 亿美元的赎金。
执法部门声称,2022 年 6 月至 2024 年 2 月期间,该勒索软件行动发起了 7,000 多次攻击,受攻击最多的五个国家是美国、英国、法国、德国和中国。
LockBit 今天继续运营,瞄准新的受害者,并最近发布了大量的旧数据和新数据。然而,NCA 报告称,克罗诺斯行动导致附属机构大规模外流,导致活跃成员数量从 194 人下降至 69 人,因为威胁行为者对领导层失去了信任。
虽然 LockBitSupp 可能会试图通过泄露从受害者那里窃取的更多敏感数据来报复美国和英国当局,但这很可能是勒索软件进入最后日子时的最后一口气。
自 2012 年第一个名为 ACCDFISA 的现代勒索软件开始对受害者进行加密以来,臭名昭著的 CryptoLocker 紧随其后,相同的威胁行为者一直在以不同的勒索软件名称进行操作。
虽然这些执法行动可能会导致 LockBit 勒索软件操作被关闭,但我们将来可能会看到相同的威胁行为者以新名称继续其活动。