Chainalysis：美英协作瓦解勒索软件Lockbit

来源：Chainalysis；编译：邓通，金色财经

2024 年 2 月 20 日，英国国家犯罪局 (NCA) 与美国司法部 (DOJ) 联合宣布，成功瓦解了近年来臭名昭著的勒索软件即服务 (RaaS) 组织 Lockbit。此次行动中，NCA、FBI 和国际执法合作伙伴通力合作，查获了 Lockbit 运营的重要服务器和公共网站，并获得了解密密钥，使 Lockbit 受害者无需支付赎金即可恢复数据。

此外，美国司法部还对两名俄罗斯公民 Artur Sungatov 和 Ivan Kondratyev 提出指控，他们涉嫌作为 Lockbit RaaS 的分支机构成员，使用该勒索软件进行攻击。美国财政部海外资产管制办公室 (OFAC) 也对这两名个人及其勒索软件活动实施了制裁，并将其十个加密货币地址列入 SDN 制裁名单。这一行动是继 2023 年 5 月对 Lockbit 关联的勒索软件开发人员 Mikhail Matveev 提起诉讼并实施制裁后的又一重大举措。

下面，我们将进一步讨论 Lockbit 在勒索软件生态系统中的独特地位以及此次行动的重要性。

Lockbit 是最广泛使用的 RaaS 勒索软件之一

据 DOJ 称，Lockbit 攻击了 2,000 多名受害者，并赚取了超过 1.2 亿美元。 我们的数据显示，Lockbit 在勒索软件生态系统中的重要性随着时间的推移而迅速增长。

此外，自 RaaS 推出以来，Lockbit 是勒索软件生态系统中最具活跃度的病毒之一，并且比大多数其他病毒株保持活跃的时间更长。

Lockbit 是一种 RaaS 勒索软件，其他网络犯罪分子（称为分支机构）可以租用该软件发动自己的勒索软件攻击，并从中获取部分收益。我们的数据表明，Lockbit 是历史上最活跃和使用最广泛的 RaaS 勒索软件之一，拥有数百个分支机构，其中许多分支机构还与其他知名勒索软件组织有关联。

Lockbit 愿意向如此多的分支机构提供服务，可能是研究人员观察到的该组织内部混乱的原因之一。例如，即使核心管理层承诺停止攻击医疗机构，Lockbit 仍继续针对医院发动攻击；此外，还发生过 Lockbit 管理员公开拒绝向分支机构支付攻击费用的事件。这些事件以及看似缺乏协调能力，可能是由于缺乏对分支机构的审查造成的。

Lockbit 管理员有时会采取一些宣传噱头，但其价值与对组织运营安全构成威胁的风险相比似乎微不足道。例如，2022 年，一位名为 LockBitSupp 的 Lockbit 管理员在线宣布，他们将向任何纹身 Lockbit 标志的人支付 1,000 美元。对 LockBitSupp 此时段链上活动的分析令人惊讶地表明，许多人接受了他们的提议。我们可以在下方的 Chainalysis Reactor 图表中看到其中一些付款信息。

可以这么说，像这样的管理员行为以及看似较低的会员访问 Lockbit 的门槛并没有将该组织描绘成勒索软件生态系统中最专业的组织。

Lockbit 和制裁风险

即使在最近针对 Lockbit 分支机构的制裁之前，该组织低廉的进入门槛使其 RaaS 模型成为威胁行为者混淆其制裁联系的诱人掩护工具。例如，2022 年 6 月，网络安全公司 Mandiant 发布了一份研究报告，表明俄罗斯勒索软件团伙 Evil Corp 开始使用 Lockbit。Mandiant 认为此举可能是 Evil Corp 为掩饰自己而采取的策略，因为当时 Evil Corp 与被制裁的俄罗斯实体的关联导致受害者支付赎金的意愿下降。链上数据证实了 Lockbit 和 Evil Corp 之间的联系，如下面的 Reactor 图表所示。

在这里，我们看到 Lockbit 和另外两种被确定为 Evil Corp 的变种将资金发送到同一个交易所存款地址。

同样，我们还看到 Lockbit 附属公司与伊朗勒索软件合作并在伊朗交易所存款的链上证据，表明图中的 Lockbit 附属公司很可能是伊朗人。——当然，伊朗是世界上受制裁最严重的司法管辖区之一。

最后，区块链分析还显示，Lockbit 管理员还向驻塞瓦斯托波尔的亲俄军事记者卡萨德上校捐赠了加密货币。 

Talos 网络安全研究人员此前曾撰写过有关卡萨德上校与俄罗斯国家黑客组织 Fancy Bear 之间联系的文章，该组织已受到欧盟的制裁。

OFAC 在针对 Lockbit 附属公司 Artur Sungatov 和 Ivan Kondratyev 的制裁中指出了 10 个加密货币地址

在 Lockbit 附属公司 Ivan Kondratyev 和 Artur Sungatov 的 SDN 列表条目中，OFAC 总共包含了由两人控制的 10 个加密货币地址——Kondratyev 9 个，Sungatov 1 个。 这些地址如下。

Ivan Kondratyev加密货币地址：

• 1A7SKE2dQtezLktCY8peLsdAtkqxV9r1dC (Bitcoin)

• Bc1q8ew45w2agdffrnwp6adt2gqrc9n4mkev9ns29c (Bitcoin)

• bc1qagp0gy58v8hqvw4p2wsphcxg067rrppp45hexr (Bitcoin)

• bc1qn6segn8km4nfdp9vueu6msfjsaxaqgun9h60n9 (Bitcoin)

• bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6 (Bitcoin)

• 0xf3701f445b6bdafedbca97d1e477357839e4120d (Ethereum)

• 15cRqR3TXS1JehBGWERuxFE8NhWZzfoeeU (Bitcoin)

• bc1q5jqgm7nvrhaw2rh2vk0dk8e4gg5g373g0vz07r (Bitcoin)

• 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM (Bitcoin)

Artur Sungatov 加密货币地址：

• 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5 (Bitcoin)

当局已经抓获勒索软件的主要参与者

这些执法行动代表了打击勒索软件的巨大胜利。 正如我们上面所探讨的，Lockbit 是多年来运行最多的病毒之一。摧毁其基础设施并获取解密器密钥将使许多组织免受破坏性勒索软件攻击。