克罗诺斯行动：FBI这次把勒索软件玩成了心理战

导语：2024年2月19日，一个看似平常的周二晚上，全球最大的勒索软件组织LockBit的暗网站点突然404了。第二天下午，网站恢复了——但内容全变了。执法部门不仅端掉了他们的服务器，还把LockBit的”老巢”装修成了”公开处刑现场”。我研究了这么多年网络犯罪，这次行动真的让我眼前一亮：原来打击勒索软件，还能这么玩。

克罗诺斯行动到底是啥？

先说说背景。LockBit从2019年开始崛起，到2023年已经占据了全球勒索攻击的25%到33%。这是什么概念？你每看到4起勒索攻击，其中至少1起就是LockBit干的。

2024年2月19日晚上8点左右，LockBit的”数据泄露网站”（就是他们用来威胁受害者的”双重勒索”平台）突然显示了一个醒目的 seizure banner（扣押公告）。上面写着：

“我们确认LockBit的服务已经被中断。请在2月20日格林威治时间11:30回来了解更多详情。”

好家伙，这波啊，这波是”预告片”——执法部门还故意用了LockBit自己威胁受害者时的”倒计时”套路。

第二天，网站恢复了原样，但内容全变了。原来的受害者名单不见了，取而代之的是一连串公告——起诉书、逮捕令、内部截图、聊天记录……整整发布了4天

更重要的是，执法部门还”预告”要公布LockBitSupp（LockBit的老大）的真实身份——那个在暗网里神龙见首不见尾的传奇人物。

 # 来源：Analyst1

这次行动跟以前有啥不一样？

以前的执法行动咱们见过不少：端服务器、抓人、冻结账户。但这次，**心理战，简称PsyOps（Psychological Operations）**成了主角。

NCA（英国国家犯罪调查局）自己也说了：

“截至今天，LockBit已经被锁在外面。我们摧毁了他们的能力，更重要的是，摧毁了那些依赖保密和匿名的犯罪分子的可信度。”

说白了，这次不只打技术，还打心理。

我总结了一下，执法部门主要打了三个”七寸”：

1. 先打品牌，再打老大

对于勒索软件组织来说，”品牌”就是一切。特别是RaaS（勒索软件即服务）模式——组织提供工具，加盟商（affiliates）负责出去干活赚钱。这种模式能运转的前提是：** affiliates得信任这个组织。**

LockBit这四年没少经营自己的品牌：

• 暗网里存在感拉满
• 全球媒体铺天盖地报道
• 还搞过各种”营销活动”，比如2020年的”夏季论文大赛”、2022年的”LockBit纹身大赛”（獎金1000美元）

 # 来源：Analyst1

这次行动之后，舆论直接反转。原来都是”LockBit又搞了哪家大公司”，现在全是”LockBit被端了，原来他们承诺删除数据是假的”。

NCA的公告里特别提到：

“LockBit系统里有一些数据，是受害者付了赎金之后仍然被保留的。这证明了即便付了赎金，数据也不会被删除——尽管犯罪分子承诺过。”

这意味着啥？LockBit最值钱的”品牌承诺”——”付赎金就删数据”——直接破产了。

LockBitSupp当时还嘴硬：”这些人居然敢说我没删数据，简直是小丑。”

但你信吗？反正圈子里的人，现在不信了。

2. 让成员之间互相怀疑

这波操作最狠的，是把194名affiliates的信息（用户名、绰号）全公开了。后来还把这些人的姓都曝光了。

然后呢？只有69人回到了平台。

也就是说，超过60%的加盟商直接跑路了。

 # 来源：Analyst1

这背后还有个”神补刀”：就在行动前两周（2024年1月30日），LockBitSupp刚被两大俄语暗网论坛Exploit.in和XSS给封号了——原因是论坛上有人投诉他。执法部门专门在公告里提到了这事儿，意思是：”看，你们老大在圈子里混得连论坛都不要他了。”

再加上后来执法部门”暗示”LockBitSupp可能跟当局合作了……这谁受得了？

 # 来源：Analyst1

3. 用法律和加密货币施压

美国司法部起诉了两名LockBit成员：Artur Sungatov和Ivan Kondratyev（别名Bassterlord）。虽然这两人现在还在俄罗斯逍遥法外，但起诉这事儿意义在于——一旦这些人将来离开俄罗斯，随时可能被逮捕。

而且，执法部门还通过区块链分析，追踪到了LockBit用来洗钱的加密货币地址，冻结了相关资产。

 # 来源：Analyst1

LockBitSupp对此的回应是：”他们说有比特币钱包和交易记录，但又不公开出来，谁知道是真是假。”

但说实话，断了人家的财路，这才是最要命的。

LockBit会不会卷土重来？

这是个好问题。

历史上，被打击过的勒索软件组织，很多都选择”换个马甲重来”。比如DarkSide被端了之后，改名BlackCat继续干。REvil被打掉了，过一阵子又冒出来。

但Analyst1的安全研究员Jon DiMaggio（跟LockBitSupp本人交手多年的那位）分析说：这次不太一样。

原因很简单：

1. 解密密钥在执法部门手里——这意味着之前被加密的企业有救了，但LockBit的”谈判筹码”没了
2. 品牌彻底臭了——现在圈子里提到LockBit，第一反应是”那个被端掉的”
3. 成员跑的跑、散的散——194人里只有69人回归，信任基础已经崩了

但LockBitSupp会善罢甘休吗？不会。这人是个自恋狂+复仇心极强的主。之前他放过话：”你们和FBI都太蠢了，抓不到我。”

分析师预计，接下来LockBit可能会：

• 疯狂攻击大企业（世界500强、医院、政府）来”证明自己还活着”
• 更新勒索软件版本（上次更新还是2022年6月）
• 试图报复执法部门

所以，战斗还没结束。

紫队视角：这一仗到底意味着啥？

从紫队的角度，我有几个判断：

1. “心理战”可能成为未来执法行动的标配

这次行动证明了一件事：单纯的技术打击不够，得从心理层面瓦解敌人。 勒索软件组织最怕的不是服务器被端，而是”在圈子里混不下去”。品牌臭了、成员跑了、没人敢合作了——这比抓几个人严重多了。

2. 公开信息这招太狠了

之前我们总以为，暗网嘛，匿名性强，执法部门拿他们没办法。但这波操作告诉我们：只要你用过互联网，总会留下痕迹。 194名affiliates的账号被公开，意味着这些人以后在暗网圈子里几乎是”社会性死亡”了。

3. 企业还是不能松懈

虽然LockBit遭受了重创，但勒索软件不会消失。可能过一年半载，LockBitSupp缓过劲来，又是一个”新”的组织。企业该做的防护一样都不能少：备份、补丁、安全培训……

总结

克罗诺斯行动绝对是网络犯罪执法史上的一个里程碑。它告诉我们：打击勒索软件，不只是技术活，更是心理战。

品牌声誉、成员信任、圈内口碑——这些看似”虚”的东西，恰恰是勒索软件组织的命门。

这一仗，执法部门赢得漂亮。

但我还是那句话：别把宝押在警察身上。企业自己的安全能力，才是第一道防线。

本文参考资料：

• Analyst1: 《LockBit Takedown & Operation Cronos: A Long-Awaited PsyOps Against Ransomware》
• Europol官方公告
• NCA官方声明
• 美国司法部起诉书
• Trend Micro、Prodaft调查报告