Bleeping Computer 網站消息，七個國家的執法機構與歐洲刑警組織和歐洲司法組織共同發起了一次聯合執法行動，成功在烏克蘭境內逮捕了某勒索軟件組織的核心成員。

據悉，這些網絡犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索軟件發動網絡攻擊活動，導致大量企業運營癱瘓。歐洲司法組織稱，在入侵受害目標系統后，該組織會偷偷潛伏起來(潛伏時間有時長達數月)部署不同類型的勒索軟件，如 LockerGoga、MegaCortex、HIVE 或 Dharma，此后會向受害者“發送”一則贖金通知，要求受害者支付比特幣，以換取解密密鑰。

從分析結果發現，威脅攻擊者通過在暴力攻擊和 SQL 注入攻擊中竊取受害目標的用戶憑證，以及使用帶有惡意附件的網絡釣魚電子郵件訪問目標網絡，一旦成功進入，就會立刻使用 TrickBot 惡意軟件、Cobalt Strike 和 PowerShell Empire 等工具橫向移動并入侵到其他系統，然后再觸發先前部署的勒索軟件有效載荷。

截至案發前，該勒索軟件團伙已經加密了大型企業的 250 多臺服務器，造成的損失超過數億歐元。值得一提的是，犯罪網絡組織內分工十分明確，一些成員主要擔任破壞受害目標 IT 網絡的“重任”，一些成員主要“幫助”受害者支付加密貨幣，以解密被加密的文件。

烏克蘭勒索軟件團伙被捕

鑒于該團伙帶來的破壞力，來自挪威、法國、德國和美國的 20 多名調查人員協助烏克蘭國家警察在基輔開展調查。11 月 21 日，通過對基輔、切爾卡瑟、羅夫諾和文尼察 30 個地點的協同突襲，逮捕了該團伙 32 歲的主謀，并抓獲了四名同伙。

歐洲刑警組織還在荷蘭設立了一個虛擬指揮中心，以處理在入室搜查中繳獲的數據。最終，烏克蘭國家警察局網絡警察表示，在 TOR 特別小組的支持下，執法人員在基輔地區以及切爾卡瑟、羅夫諾和文尼察地區對嫌疑人的住宅和汽車進行了 30 多次授權搜查，沒收了大量的計算機設備、汽車、銀行卡和 SIM 卡、'草稿'、數十種電子媒體和其他非法活動證據和加密貨幣資產。

值得注意的是，此次抓捕行動“繼承了” 2021 年的某執法行動，當時警方拘留了12名嫌疑人，這些人大都來自同一勒索軟件團伙的成員，該團伙與針對 71 個國家 1800 名受害者的攻擊有關。正如兩年前調查顯示的結果一樣，威脅攻擊者部署了 LockerGoga、MegaCortex 和 Dharma 勒索軟件，還在攻擊中使用了Trickbot 等惡意軟件和 Cobalt Strike 等工具。

歐洲刑警組織和挪威相關機構接下來的工作重點是是分析 2021 年在烏克蘭查獲的設備數據，以期幫助確定近期在基輔逮捕的其他嫌疑人的身份。

LockerGoga 和 MegaCortex 勒索軟件免費解密程序

據悉，聯合執法行動由法國當局于 2019 年 9 月發起，重點是在挪威、法國、英國和烏克蘭組成的聯合調查小組(JIT)的幫助下，在歐洲司法組織的財政支持下，與荷蘭、德國、瑞士和美國當局合作，找到烏克蘭境內的威脅攻擊者并將其繩之以法。參與的執法機構名單如下：

• 挪威：國家刑事調查局(Kripos)
• 法國：巴黎檢察官辦公室、國家警察局(Police Nationale - OCLCTIC)
• 荷蘭：國家警察局(Politie)、國家檢察院(Landelijk Parket, Openbaar Ministerie)
• 烏克蘭：總檢察長辦公室 (Оф?с Генерального прокурора), 烏克蘭國家警察局 (Нац?ональна пол?ц?я Укра?ни)
• 德國：斯圖加特檢察官辦公室、羅伊特林根警察總部(Polizeipr?sidium Reutlingen)CID Esslingen
• 瑞士：瑞士聯邦警察局(fedpol)、巴塞爾-蘭茨查特警察局(Polizei Basel-Landschaft)、蘇黎世州檢察官辦公室、蘇黎世州警察局
• 美國：美國：美國特勤局 (USSS)、聯邦調查局 (FBI)
• 歐洲刑警組織：歐洲網絡犯罪中心 (EC3)
• 歐洲司法組織。

歐洲刑警組織指出，來自七個國家的執法和司法機構與歐洲刑警組織和歐洲司法組織聯手，在烏克蘭摧毀并逮捕了勒索軟件攻擊幕后的“元兇”。此外，通過法證分析，瑞士當局還與 No More Ransom 合作伙伴和 Bitdefender 合作開發了 LockerGoga 和 MegaCortex 勒索軟件變種的解密工具。

參考文章：https://www.bleepingcomputer.com/news/security/police-dismantle-ransomware-group-behind-attacks-in-71-countries/