警方逮捕3人并关闭1.4万多个LockBit关联账户，人们必须从LockBit事件中吸取教训

由澳大利亚和日本等10个国家的执法机构组成的国际执法工作组宣布成功摧毁了LockBit勒索软件团伙。

由英国和美国当局领导的“克罗诺斯行动”（Operation Cronos）查获了由LockBit勒索软件团伙运营的暗网网站。LockBit是一个臭名昭著且猖獗多产的勒索软件组织，在全球范围内攻击了2000多名受害者，并勒索了超过1.2亿美元的赎金。

过去四年来，LockBit团伙在全球企业和政府中散布了恐惧，并在勒索软件攻击中占了很大份额。Akamai 2023年的一份研究报告强调，LockBit影响了勒索软件领域，占勒索软件受害者总数的39%（1091名受害者），是排名第二的勒索软件团伙数量的三倍多。

自2020年1月以来，LockBit在亚太地区发起了数百起攻击，目标涉及金融服务、关键基础设施、农业、教育和政府等部门。它关闭了日本最大的名古屋港口两天，该港口是日本最大的汽车制造商使用的港口。以类似的方式，LockBit对澳大利亚最大港口的IT系统进行了加密，扰乱了其运营。由于影响如此严重，LockBit为这次攻击道歉并提供了解密密钥以恢复服务。该团伙还利用勒索软件即服务工具招募招募技术含量低的黑客，扩大了LockBit签名勒索软件攻击的规模、影响范围和造成的损害。

LockBit因将敏感数据泄露给所有人来羞辱那些拒绝支付赎金的人而感到自豪。

LockBit关联人员在乌克兰和波兰被捕

作为国际取缔行动的一部分，臭名昭著的LockBit勒索软件团伙的至少三名成员在波兰和乌克兰被捕。

逮捕消息是在LockBit的暗网网站关闭后发布的，该组织利用该网站威胁受害者，除非支付勒索费用，否则就会公布他们被黑客入侵的数据。

乌克兰网络警察周三表示，他们逮捕了“一对父子”，他们的行为据称代表LockBit，“影响了法国的人民、企业、国家机构和医疗机构”。

在搜查嫌疑人位于乌克兰西部城市捷尔诺波尔的公寓时，警方没收了他们的手机和电脑设备，怀疑这些设备被用来进行网络攻击。

在波兰，警方在华沙逮捕了一名38岁男子。涉嫌与LockBit关联的人被带至检察官办公室，并被指控犯有刑事罪。波兰当局在YouTube上发布了逮捕视频。

在乌克兰和波兰的案件中，尚不清楚罪犯如果被判有罪将受到何种惩罚。

警方关闭了LockBit的多个关联账户

摧毁LockBit勒索软件服务的执法行动已宣布关闭相关犯罪分子使用的第三方服务的14000多个关联账户。

根据查获的LockBit的暗网域名上的一篇帖子，文件托管服务Mega以及加密电子邮件提供商Tutanota和Protonmail上的帐户被用于“渗透或基础设施”。

欧洲刑警组织欧洲网络犯罪中心对这些账户的分析表明，其中一些账户还被用于使用其他勒索软件变体的攻击，这表明它们是由附属机构（使用LockBit平台的黑客）操作的。

目前由英国官员控制的LockBit的暗网.onion网站表示：“每个账户都代表着获取不义之财的渠道，这种协调一致的行动打击了网络犯罪活动的核心，严重阻碍了他们从邪恶活动中获利的能力。”

但LockBit将会卷土重来

这次执法行动并非没有戏剧性。LockBit声名狼藉的领导者lockBitSupp曾对“克罗诺斯行动“（Operation Cronos）进行恶搞，并抱怨没有悬赏追捕他的人头，他甚至悬赏1000万美元以揭露他的身份。LockbitSupp的真实身份目前仍然是个谜。

执法当局还借鉴了LockBit团伙在媒体上传播他们的攻击和羞辱受害者的手段。他们将他们的行动命名为“克罗诺斯”（Cronos），并分享了一个每小时一次的倒计时，以宣布LockBit被取缔的消息。曾经泄露客户数据的暗网网站现在正在为那些反对勒索并拒绝支付赎金的人共享解密密钥。日本警方在欧洲刑警组织的支持下开发了一种解密工具，旨在恢复由LockBit 3.0黑色勒索软件加密的文件。

当局打算向所有勒索软件团伙发出明确的信息，他们不能再躲在Tor后面逃避暗网的监视，并且他们将对自己的行为负责。

预防胜于恢复

这是一次大胆的联合取缔行动，标志着许多国家当局的通力合作。然而，依靠多国特遣部队来摧毁勒索软件团伙并恢复解密密钥并不是一种有效的安全策略。预防胜于恢复。

勒索软件团伙非常灵活，LockBit团伙的一个变种可能会很快填补这一空白，并很快用更具破坏性的工具取而代之。让我们记住另一个对多产勒索软件团伙Blackcat/APHV的摧毁尝试，该组织在FBI查获其暗网网站数小时后“解封”了其暗网网站。在与当局的来回交涉中，该团伙发布了一张黑猫的图片和一条横幅，上面写着“该网站已被解封”。该团伙仍然逍遥法外，美国国务院悬赏高达1000万美元，以征集该团伙头目的信息。勒索软件团伙正在学习并将适应当局使用的工具和技术。

最有效的安全策略是防止攻击者访问关键服务器上的数据并对其进行加密，并在他们能够入侵环境前进行备份。现在是企业重新评估其安全状况的时候了。全面了解攻击面，同时制定强大的流程和操作手册来预防勒索软件攻击并从中恢复，是至关重要的。

从软件定义的微分段开始实施零信任架构，以防止被入侵后的横向移动至关重要。通过全面的网络可视性来识别入侵指标（IoCs），可以对勒索软件攻击采取更具攻击性的态势，并遵守当地的网络安全法规。

现在是通过在勒索软件杀伤链的每个环节实施安全解决方案来对付勒索软件的时候了。