导语:说起打击网络犯罪,一般人想到的是啥?端掉服务器、冻结账户、抓几个人。但2024年2月这场行动告诉我们:现在执法部门不玩虚的了,直接在你最在乎的地方下死手。这次克罗诺斯行动(Operation Cronos)堪称”教科书级心理战”——不弄死你,但让你在圈子里混不下去。
先说说这事儿有多”损”
LockBit这个组织吧,之前我一直觉得他们挺能的。为啥?2019年冒头,到2023年已经占了全球勒索攻击的25%到33%。2023年全年他们搞了1700多家企业,赎金赚了超过1亿美元。
但这次执法部门玩了个更狠的:全面攻心。
Analyst1的安全研究员Jon DiMaggio跟了我们好几年,之前LockBit的老大LockBitSupp还放过话:”你们和FBI都太蠢了,抓不到我。”好嘛,这次执法部门记仇了,直接让他在全世界的黑客圈子里颜面扫地。
我看了WIRED的报道,总结下来这次心理战主要打了两个七寸:
- 品牌声誉——LockBit最自豪的就是”神龙见首不见尾”的匿名性
- 成员间的信任—— affiliates之间那点本就脆弱的信任,被碾得稀碎
具体是怎么操作的?
第一步:把网站改成”广告位”
2024年2月19日晚上8点左右,LockBit的各个暗网站点突然显示404错误。大伙还在猜测是不是技术故障,NCA(英国国家犯罪调查局)直接在他们的”泄密网站”上挂起了执法部门的公告。
但这只是开始。执法部门把LockBit的网站给”劫持”了,按照原来的风格重新装修了一下,然后开始往上面堆各种”猛料”:
- 内部管理后台的截图
- LockBit成员之间的聊天记录
- 194名 affiliates 的用户名和登录凭证(后来还把这些人的姓都公开了)
- 各种起诉书、逮捕令、制裁声明
想象一下:你是个混黑市的,之前听说老大家被端了,还半信半疑。结果你登录管理后台,弹出来一个对话框——“你好,我们知道你是谁,你的聊天记录、钱包地址、IP地址都在我们手上了。”
这就是当时LockBit成员真实收到的”惊喜”。
第二步:公开处刑”LockBitSupp”
LockBit的老大LockBitSupp一直是圈内的传说——没人知道他是谁,只知道他极度低调。执法部门直接在那个被劫持的网站上搞了个倒计时钟,好几天的时间里全世界都在猜:到底是谁?
倒计时结束那天,答案揭晓:Dmitry Yuryevich Khoroshev,俄罗斯人,被美国司法部起诉。
这一招太狠了。之前LockBitSupp在圈子里是”神一样的存在”,这一下直接从神坛跌到泥里。更绝的是,执法部门还把他在各大暗网论坛的账号被封的消息也一起公开了——Exploit.in和XSS,这两个最老牌的黑客论坛,都把LockBitSupp给ban了。
第三步:让 affiliates 互相怀疑
194名 affiliates 的信息被公开后,截至今年5月,只有69人回到平台。
这说明啥?剩下的125人,要么跑路了,要么不敢回来了。
根据网络安全公司KELA的研究,黑客论坛上关于这事的讨论可热闹了。有人发帖说:”他们有这么多信息,肯定多多少少知道老大是谁。””搞不好他就是卧底。”
还有人呼吁:”别做表情包调侃这事儿了,你们懂的,万一哪天轮到你呢?”
你看,这就是心理战的核心——不是让你害怕,而是让你开始怀疑队友。
紫队视角:这一仗到底有多漂亮?
说实在的,我研究了这么多年网络攻击,第一次看到执法部门把”心理战”玩得这么6。
以前的执法行动吧,端掉一个服务器,过俩月换了个马甲又出来继续干。为啥?因为技术层面的打击,治标不治本。
但这次不一样:
1. 品牌打砸了 LockBit之前之所以能招到这么多 affiliates,靠的就是”安全”、”靠谱”、”不泄露客户信息”这些招牌。这一通操作下来,招牌砸得稀碎。NCA的人自己都说:”我们把LockBit这个品牌变成了’有毒’的存在。”
2. 信任链条断了 勒索软件本身就是靠”联盟”模式运作的——组织提供技术工具, affiliates 去干活赚钱,然后分成。内部成员之间那点信任本来就薄如纸,这一公开,等于直接告诉他们:”你们的老大都在我们手上了,你们还玩啥?”
3. 杀鸡儆猴了 伦敦警察厅后来也学了这一招。在打击LabHost(一个钓鱼网站搭建平台)的时候,直接给800多个用户发了定制视频消息,告诉他们:”我们知道你每次什么时候来、用过什么IP、骗过哪些人。”
这视频一发,圈子里直接炸锅了。
对企业有啥启示?
说到底,这是写给企业看的。咱们聊聊实用:
1. 勒索软件不是打不完的 LockBit确实遭受了重创,但你信不信?不出两年,换个名字又出来了。这次心理战能延缓他们复苏,但企业不能把宝押在”执法部门帮我出头”上。
2. 预防永远比解密重要 这次执法部门确实拿到了解密密钥,帮了不少企业。但现实中,不是每次都有这么好运的。企业该做的备份、打补丁、员工培训,一样都不能少。
3. 关注攻击者的”软肋” 从这次行动可以看出,勒索软件组织其实很怕丢面子。品牌声誉、成员信任——这些看似虚无的东西,恰恰是他们能运转下去的基础。企业在做防御方案的时候,也可以考虑这些”非技术因素”。
总结
克罗诺斯行动给全球执法部门上了一课:与其想着一次性消灭敌人,不如让他们从内部腐烂。
这种”心理战+技术战”的组合拳,可能是未来打击网络犯罪的标配。 ransomware圈子里有句老话:”最危险的不是警察,是你的’同事’。”现在看来,这话是越来越有道理了。
本文参考资料:
- Analyst1: 《LockBit Takedown & Operation Cronos: A Long-Awaited PsyOps Against Ransomware》
- WIRED: 《Cops Are Just Trolling Cybercriminals Now》
- Trend Micro: 《Unveiling the Fallout: Operation Cronos’ Impact on LockBit》
- NCA官方公告
暂无评论内容