2024年2月20日，美國、法國、英國等國執法機構聯手對頭號勒索軟件組織LockBit展開了大規模清剿，這個代號“克羅諾斯行動”（OperationCronos）的執法活動取得了以下成果：

• 逮捕：兩名LockBit運營者在波蘭和烏克蘭被捕。
• 扣押：執法部門扣押了超過200個加密錢包，這些錢包可能包含受害者支付的勒索金。
• 解密：執法部門從查獲的LockBit服務器中獲取了超過1,000個解密密鑰，并使用這些密鑰開發了一個免費的解密工具，供受害者恢復加密文件。
• 接管：查獲了LockBit的服務器和基礎設施，接管了其數據泄露站點用于發布解密工具和懸賞通知。
• 起訴：法國和美國司法當局針對其他LockBit威脅行為者發出了三份國際逮捕令和五項起訴書。
• 協調：此次全球行動由“克羅諾斯行動”（Operation Cronos）協調，該行動由英國國家犯罪局(NCA)領導，并在歐洲由歐洲刑警組織和歐洲司法局協調。

據悉，多國執法部門的調查始于2022年4月，應法國當局的要求在歐洲司法局啟動。歐洲刑警組織（Europol）在一份聲明中表示：“為期數月的行動最終成功搗毀了LockBit組織犯罪活動所依賴的主要平臺和其他關鍵基礎設施。”

據安全研究機構vxground報道，執法機構已經控制了LockBit的管理平臺，并獲取了聯盟組織的信息，包括源代碼、攻擊受害者詳細信息、勒索金額、被盜數據、聊天記錄等；目前LockBit聯盟組織成員登錄平臺面板時，將會看到執法機構要求其自首的通知：

此外，執法部門宣布查獲了34臺LockBit服務器，這些服務器位于荷蘭、德國、芬蘭、法國、瑞士、澳大利亞、美國和英國。歐洲刑警組織表示，這些服務器現在由執法部門控制，共計超過1.4萬個惡意賬戶已被識別并被執法部門下令移除。這些惡意帳戶被LockBit成員用來托管攻擊中使用的工具和軟件，并存儲從公司竊取的數據。

根據vx-underground的推文，絕大多數LockBit的暗網站點（約22個）都已被執法機構接管，并用于發布執法通告（下圖）：

作為克羅諾斯行動的一部分，執法部門從被扣押的LockBit服務器中獲取了1000多個解密密鑰。基于這些解密密鑰，日本警方、英國國家犯罪局（NCA）和聯邦調查局(FBI)在歐洲刑警組織的支持下開發了LockBit 3.0勒索軟件解密工具。受害者現在可以通過“NoMoreRansom”門戶（https://www.nomoreransom.org/en/index.html）獲得此免費解密器。

LockBit的暗網數據泄露站點也被執法者接管并用于發布解密工具和執法動態（上圖）。

LockBit啟動事件調查和應急響應措施

歐洲刑警組織表示，他們已經收集了有關LockBit組織犯罪行動的“大量”數據，這些數據將用于針對該組織領導人及其開發者和聯盟組織的持續行動，旨在將LockBit犯罪組織一網打盡，斬草除根。

但現在斷言LockBit勒索軟件組織將被徹底剿滅還為時過早，因為歷史上大型僵尸網絡和勒索軟件組織成功反圍剿，死灰復燃卷土重來的案例有很多，包括LockBit3.0自身已經是第二次“復活”。

在本周二發送給聯盟組織的事件通報電子郵件中（下圖），LockBit運營者表現得非常鎮靜和專業，聲稱在發現數據泄露后立刻聯合網絡安全專家啟動了事件調查和應急響應措施。

LockBit還在郵件中敦促附屬機構加強安全措施，防止類似數據泄露事故再次發生。LockBit建議附屬機構采取以下緩解和加固措施：

• 重置LockBit賬戶密碼。
• 啟用MFA多因素認證。
• 監控賬戶，留意賬戶狀態和信用報告中的異常活動。

關于“勒索軟件之王”LockBit

拳打工商銀行、手撕波音公司，LockBit是2019年以來的最危險和最多產的勒索軟件組織（沒有之一），令各國政府和財富500強公司夜不能寐。該組織采用勒索軟件即服務(RaaS)運營模式，對各種組織發動攻擊，包括企業、政府機構和醫療組織。

LockBit的創始人是一個營銷和商業天才，甚至有圈內人士稱其為“勒索軟件行當的喬布斯”。舉一個簡單的例子，LockBit對其勒索軟件攻擊活動的定義是：“后付費的滲透測試服務”。

不可否認，LockBit這套“婊牌兼立”的價值觀確實讓很多市場營銷人員直呼內行，但這絕不是LockBit讓業界為之膽寒的真正原因。

LockBit的成功之處可以概括為三點：

• 商業模式（RaaS）創新
• 研發的敏捷化
• 遠離地緣政治

LockBit宣稱自己是全球唯一一個不經手加盟組織贖金的RaaS聯盟項目（LockBit的傭金提成約為贖金的25%），所有其他勒索軟件聯盟項目都會要求合作伙伴先將贖金支付轉入自己的錢包，然后再向合作伙伴支付其份額，一旦RaaS項目運營者卷款跑路，其“合作伙伴”將蒙受巨大損失，例如DarkSide項目。

此外，LockBit創始人將自己標榜為遠離地緣政治的“道德黑客”，在接受RHC采訪時，他厚顏無恥地聲稱：“這是我個人的世界觀，我反對戰爭和流血事件，我們是普通的滲透測試人員，讓這個世界更安全，多虧了我們，公司可以學到安全課程并修復漏洞。Conti及其重組的BlackBasta是政治黑客，他們工作是為了摧毀基礎設施，只是為了對公司造成最大的損害。而我們，反過來，使全世界的公司受益，讓它們更安全、更穩固。”