LockBit Ransomware集团的崛起与落幕

关键要点

2024年2月19日，英国国家犯罪局 (NCA) 结合国际执法机构，成功查封了LockBit的主要网站，并逮捕了两名成员。Ransomware组织的结构较为松散，品牌的关闭对核心成员影响有限。尽管实施制裁，但制裁对象可以在新品牌下继续活动，制裁手段难以从根本上解决问题。执法机关的成功依赖于其技术能力和信息共享，此外对犯罪分子的威慑作用也十分重要。未来的反击需要增强执法和技术力量的合作。

2024年2月19日，LockBit这一近年来最活跃的勒索软件集团的主要网站被英国国家犯罪局 (NCA) 查封。NCA与国际执法机构合作，包括美国联邦调查局 (FBI)、法国国家宪兵、日本国际刑警等，顺利查获运营该网站的实体服务器，并逮捕了两名嫌疑人，分别在波兰和乌克兰被拘捕。此外，美国当日还宣布对两名俄罗斯公民实施制裁，因其在该犯罪集团中的角色。

这种国际合作的执法行动让我们对这些有组织犯罪集团的运作方式有了新的认识，同时也暴露了我们在控制此类活动时的局限性。

勒索软件集团是什么？

我们首先要理解：“勒索软件集团”究竟是什么？一般来说，它们往往形成一个类似无政府主义公社 的结构。通常，这其中包括一个核心的软件开发团队，负责编写网站、恶意软件和支付系统；一个洗钱者；和一个擅长英语以便与受害者谈判的人。而实际攻击则由所谓的“附属成员”实施。这些附属成员注册使用平台及品牌，来勒索受害者并分享收益。

海鸥加速器免费版下载安装

身份在黑市中的流动性

我们首先面临的问题在于这一结构：这些“集团”大多松散联结，并以品牌名义运作。关闭品牌并不一定对核心成员造成直接影响。美国对一些成员实施制裁，使得“LockBit”这个品牌几乎不复存在。没有一家美国公司愿意向LockBit支付赎金，但如果他们明天以CryptoMegaUnicornBit等新名义重新出现，整个勒索循环将重新开启。

在新名下剥夺这些人的收入非常困难。对伊万孔德拉季耶夫Ivan Kondratyev和阿图尔松加托夫Artur Sungatov的制裁已基本摧毁了LockBit，但一旦他们以DatasLaYeR001和Crypt0Keeper69的身份重新出现，受害者又如何知道他们是被制裁的实体？这些制裁不过是路上的障碍，而不是解决勒索软件问题的根本办法。

美国司法部的五项起诉仅可能是开始。在过去的类似案件中，公开的起诉书往往涉及那些在美国不太可能获得执法合作的国家里的个人；在这种情况下，美国将选择把这些实体列入制裁名单。希望还有更多的封存起诉书尚未被揭示，未来可以用来抓捕新的犯罪参与者，尤其是当他们在假期期间国际旅行时。被执法友好国家拘留的LockBit犯罪团伙成员在波兰因洗钱和乌克兰未明确指控被捕，并可能面临法国的指控。

执法面临的困难

那么，执法机关是如何成功捣毁这些黑帮的？所有迹象表明，这可能始于一个未打补丁的安全漏洞CVE20233824。专业的网络犯罪者们并不一定擅长保护自己的基础设施，观察者曾评论LockBit在管理其IT基础设施方面存在问题讽刺的是，就在2023年中期正是CVE20233824被公开报告前夕。

一旦运行泄密网站的网络