Bleeping Computer 网站消息,七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动,成功在乌克兰境内逮捕了某勒索软件组织的核心成员。
据悉,这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动,导致大量企业运营瘫痪。欧洲司法组织称,在入侵受害目标系统后,该组织会偷偷潜伏起来(潜伏时间有时长达数月)部署不同类型的勒索软件,如 LockerGoga、MegaCortex、HIVE 或 Dharma,此后会向受害者“发送”一则赎金通知,要求受害者支付比特币,以换取解密密钥。
从分析结果发现,威胁攻击者通过在暴力攻击和 SQL 注入攻击中窃取受害目标的用户凭证,以及使用带有恶意附件的网络钓鱼电子邮件访问目标网络,一旦成功进入,就会立刻使用 TrickBot 恶意软件、Cobalt Strike 和 PowerShell Empire 等工具横向移动并入侵到其他系统,然后再触发先前部署的勒索软件有效载荷。
截至案发前,该勒索软件团伙已经加密了大型企业的 250 多台服务器,造成的损失超过数亿欧元。值得一提的是,犯罪网络组织内分工十分明确,一些成员主要担任破坏受害目标 IT 网络的“重任”,一些成员主要“帮助”受害者支付加密货币,以解密被加密的文件。
乌克兰勒索软件团伙被捕
鉴于该团伙带来的破坏力,来自挪威、法国、德国和美国的 20 多名调查人员协助乌克兰国家警察在基辅开展调查。11 月 21 日,通过对基辅、切尔卡瑟、罗夫诺和文尼察 30 个地点的协同突袭,逮捕了该团伙 32 岁的主谋,并抓获了四名同伙。
欧洲刑警组织还在荷兰设立了一个虚拟指挥中心,以处理在入室搜查中缴获的数据。最终,乌克兰国家警察局网络警察表示,在 TOR 特别小组的支持下,执法人员在基辅地区以及切尔卡瑟、罗夫诺和文尼察地区对嫌疑人的住宅和汽车进行了 30 多次授权搜查,没收了大量的计算机设备、汽车、银行卡和 SIM 卡、'草稿'、数十种电子媒体和其他非法活动证据和加密货币资产。
值得注意的是,此次抓捕行动“继承了” 2021 年的某执法行动,当时警方拘留了12名嫌疑人,这些人大都来自同一勒索软件团伙的成员,该团伙与针对 71 个国家 1800 名受害者的攻击有关。正如两年前调查显示的结果一样,威胁攻击者部署了 LockerGoga、MegaCortex 和 Dharma 勒索软件,还在攻击中使用了Trickbot 等恶意软件和 Cobalt Strike 等工具。
欧洲刑警组织和挪威相关机构接下来的工作重点是是分析 2021 年在乌克兰查获的设备数据,以期帮助确定近期在基辅逮捕的其他嫌疑人的身份。
LockerGoga 和 MegaCortex 勒索软件免费解密程序
据悉,联合执法行动由法国当局于 2019 年 9 月发起,重点是在挪威、法国、英国和乌克兰组成的联合调查小组(JIT)的帮助下,在欧洲司法组织的财政支持下,与荷兰、德国、瑞士和美国当局合作,找到乌克兰境内的威胁攻击者并将其绳之以法。参与的执法机构名单如下:
- 挪威:国家刑事调查局(Kripos)
- 法国:巴黎检察官办公室、国家警察局(Police Nationale - OCLCTIC)
- 荷兰:国家警察局(Politie)、国家检察院(Landelijk Parket, Openbaar Ministerie)
- 乌克兰:总检察长办公室 (Офіс Генерального прокурора), 乌克兰国家警察局 (Національна поліція України)
- 德国:斯图加特检察官办公室、罗伊特林根警察总部(Polizeipräsidium Reutlingen)CID Esslingen
- 瑞士:瑞士联邦警察局(fedpol)、巴塞尔-兰茨查特警察局(Polizei Basel-Landschaft)、苏黎世州检察官办公室、苏黎世州警察局
- 美国:美国:美国特勤局 (USSS)、联邦调查局 (FBI)
- 欧洲刑警组织:欧洲网络犯罪中心 (EC3)
- 欧洲司法组织。
欧洲刑警组织指出,来自七个国家的执法和司法机构与欧洲刑警组织和欧洲司法组织联手,在乌克兰摧毁并逮捕了勒索软件攻击幕后的“元凶”。此外,通过法证分析,瑞士当局还与 No More Ransom 合作伙伴和 Bitdefender 合作开发了 LockerGoga 和 MegaCortex 勒索软件变种的解密工具。
参考文章:https://www.bleepingcomputer.com/news/security/police-dismantle-ransomware-group-behind-attacks-in-71-countries/