世纪对决2.0:LockBitSupp黑客团伙再遭围剿
2024-5-6 12:29:43 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏


Cronos帮派与LockBit勒索软件帮派之间的复赛正式开始了!5月5日星期日美国东部时间下午3点左右,此前被查封的LockBit数据泄露网站重新上线,这场超乎寻常的对决再度上演!上一次两个组织交手还是在2024年2月的第一回合,当时由英国国家犯罪局(National Crime Agency,简称NCA)、美国联邦调查局(Federal Bureau of Investigation,简称FBI)和欧洲刑警组织(Europol)组成的"克罗诺斯行动"(Operation Cronos)查封了LockBit的数据泄露网站,作为一项名为"克罗诺斯行动"的执法行动的一部分。执法部门开展此次行动的目的是扰乱勒索软件团伙及其犯罪活动。

尽管执法部门实现了目标,但LockBit遭受的最沉重打击来自于行动中使用的心理战术,旨在削弱LockBit与支持其运作的犯罪伙伴之间的信任。执法部门没能给予致命一击,LockBit虽然被击倒但还没被击垮,但更重要的是,克罗诺斯行动严重损害了LockBit的声誉。战斗结束后,LockBit发誓要卷土重来,重返昔日荣光,夺回世界上最臭名昭著的勒索软件帮派的称号。

在接下来的两个月里,LockBit为这场期待已久的复赛进行了训练。该帮派首领(化名"LockBitSupp")迅速使用新的基础设施重建了数据泄露网站,并开始攻击和勒索受害者。LockBit上演了一出好戏,以证明业务一如既往地继续,在某种程度上,情况的确如此,但规模已不及执法部门打击之前。有一点很明确,这次扰乱行动是有效的。

复赛第一回合

今天,代表执法部门的克罗诺斯走进擂台,在这场史诗般的复赛中率先发起进攻。两名选手站在各自的角落,目光对视。裁判高喊:

"介绍本场比赛的特邀裁判,Bratva!他是世界上最伟大的地下黑客论坛XSS的知名管理员,严明公正!"

Bratva站到两名选手中间,要求双方碰拳,比赛开始!!!

铃声响起的那一刻,人群沸腾了,这标志着比赛的开始。选手们在擂台上转圈,审视着对方。LockBit直视联邦调查局的眼睛,用浓重的俄罗斯口音说:"我会打败你。"但正如迈克·泰森(Mike Tyson)曾经说过的那样,"每个人都有一个计划,直到他们被打了一拳。" 

英国国家犯罪局率先出击,快速挥出一记右勾拳,击晕了LockBit,后者显然没有预料到这一拳。事实证明,重新启用旧数据泄露网站的不是LockBit,而是英国国家犯罪局。这一拳让LockBit踉跄了一下,克罗诺斯乘胜追击,希望通过在LockBit自己的受害者泄露网站上为首领LockBitSupp本人创建一个新帖子来彻底击败对手。在两个月内第二次,LockBit现在成了自己勒索网站上最新的受害者!

观看比赛的数百万粉丝可以看到LockBit受伤了,此时即使铃声响起也无法挽救他。LockBit开始表现出疲态,比赛评论员注意到LockBit抬头看了看时钟,希望本回合快点结束,以免遭遇耻辱性失利。仔细一看,LockBit突然意识到时钟显示的不是本回合剩余时间,而是克罗诺斯告诉全世界他是谁之前的倒计时。

图1:滴答,滴答……

突然,LockBit意识到克罗诺斯在其首领LockBitsupp的泄露网站帖子上创建了一个倒计时器,类似于该帮派在勒索软件攻击期间对数千名受害者所做的那样。看到伤痕累累的拳手冠军梦想正在溜走,观众高喊"该付钱了","该付钱了"!

拳来脚往之间,LockBit感觉时间都静止了。一切都在慢动作进行,LockBit想。对LockBit来说这简直就是折磨,惶恐不安,担心如果输了比赛、时间归零,他就会被曝光在世人面前。滴答,滴答……克罗诺斯帮派狠狠地打在LockBit身上,打得他的护齿都飞了出去,LockBit只听到时钟的滴答声,震耳欲聋。LockBit的思绪开始游离,焦虑不安,想起FBI在几天前的称重仪式上警告他,他将成为FBI的下一个受害者!不,LockBit想,这不可能真的发生。一定是做噩梦!

被打得伤痕累累,意识时而清醒时而模糊,LockBit开始认清现实。发明并创建了LockBit勒索软件行动的真实世界里的那个人第一次意识到,他的勒索软件事业可能就要结束了。绝望之中,他看向自己的助手Wazawaka和Bassterlord,希望他们能帮助自己撑过这一回合。然而,他听到的不是建议,而是"你的所有数据都被加密了……",然后一切都黑了下来。LockBit倒在了擂台上。LockBit几乎听不到裁判Bratva的声音,观众的尖叫声盖过了一切。当Bratva数到10时,LockBit试图站起来,但又"冷不防"地倒在擂台上。比赛结束了。LockBit输了。永远不要低估你的对手,LockBit听到评论员说。

显然,我在这篇文章中加入了一些创意和趣味。但擂台外发生的事情,包括英国国家犯罪局、美国联邦调查局、欧洲刑警组织和LockBit及其数据泄露网站,以及在我写这些文字时正在倒数的计时器,实际上都是真实发生的。美国联邦调查局此前在2024年2月首次关闭LockBit的基础设施时就发出了这一威胁,当时他们决定不公开LockBitSupp的身份,声称他在配合执法部门工作。看来这种关系已经恶化,根据今天发生的事件,他们可能真的知道LockBitSupp的真实身份,并打算在计时器倒数结束时公布。

我不认为美国联邦调查局会在如此公开的层面上发出空洞的威胁,除非它真的打算揭开勒索软件界最招人恨的反派的真面目。我只能想象LockBitSupp此刻的感受和想法。当你周围到处都是敌人,执法部门和罪犯都在等着把你拿下的时候,想到全世界很快就会知道你是谁、住在哪里、做了什么,那种压力一定令人瘫痪。然而,我不能说我知道那是什么感觉,因为我不躲在面具或键盘后面。有人认为我在过去几年里对LockBit的行动进行正面研究是疯了,也许我是疯了,但我一直在努力阻止LockBit。虽然我无法阻止他,但我很高兴有人或有事,比如克罗诺斯行动,可能有机会做到。我想很快我们就会知道面具背后的那个人究竟是谁了。我知道我会密切关注,等待揭开我的老朋友、臭名昭著的"暴脾气先生"(Mr. Grumpypants)的真面目。


参考资料:

https://analyst1.co[m]/unfinished-business/

推荐阅读


闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485649&idx=1&sn=d3dfdd54bfb417858f936b60b3c1ad57&chksm=fb04cbb9cc7342afa8e92cc92d1078bb5fd3ea12e9f9c58b486a985c71fa78c311e07d6094c6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh