英国揭露LockBit勒索软件背后俄罗斯支持的网络犯罪团伙中的高级黑客

英国国家安全局周二表示，它已经揭露了这个名为"贝弗利"的 LockBit 附属组织的身份，即俄罗斯人亚历山大-雷振科夫（Aleksandr Ryzhenkov），英国当局认为他是邪恶公司的"二把手"；

这是英国和国际执法部门的最新行动，被称为"克洛诺斯行动"（Operation Cronos），旨在破坏洛克比特公司（LockBit）和邪恶公司（Evil Corp）的运作。洛克比特公司曾是俄罗斯最猖獗的勒索软件团伙之一，而邪恶公司则是俄罗斯顶级网络犯罪集团之一，与俄罗斯政府有千丝万缕的联系。 周二，当局提供了这两个俄罗斯网络犯罪团伙进一步重叠的证据，部分证据是通过短暂恢复当局之前查获的臭名昭著的 LockBit 勒索软件团伙的暗网泄漏网站。

根据 NCA 的最新调查结果，Ryzhenkov 与邪恶公司的创始人和领导者 Maksim Yakubets 是密友，后者于 2019 年因涉嫌参与开发和分发 Dridex 恶意软件而被美国政府起诉。 雅库贝茨曾被指控向俄罗斯政府提供"直接援助"。

因此，英国以及美国和澳大利亚当局对Ryzhenkov实施了制裁，实际上使得与这些国家有关的任何人与他进行交易都是非法的，包括支付赎金。

NCA 表示，虽然其追踪的大多数俄罗斯黑客都是出于经济动机，但 Evil Corp 与俄罗斯国家保持着"特权"关系，并经常受命代表俄罗斯政府对北约国家实施网络攻击。

国家计算机局称 Ryzhenkov 是 Yakubets 的"得力助手"，他于 2022 年成为 LockBit 的附属公司，并继续以至少 60 名受害者为目标。

国家指挥机构还认定，马克西姆的父亲维克托-雅库别茨（Viktor Yakubets）和马克西姆的岳父、前俄罗斯高级情报官员爱德华-本德斯基（Eduard Benderskiy）是"邪恶公司"行动的关键人物，后者是该团伙与俄罗斯情报部门关系的"关键推动者"。 Yakubets 和 Benderskiy 也受到了制裁。

"克罗诺斯行动"的高级调查官加文-韦伯（Gavin Webb）告诉记者："LockBit公司非常明确地表示，它从未与邪恶公司合作过，而我们已经能够非常清楚地证明他们确实合作过。"

国家指挥中心周二还宣布，在持续打击多产的 LockBit 勒索软件团伙的行动中，又有多人被捕。 英国当局在英国逮捕了两人，据信他们与 LockBit 的一个分支机构有关联，涉嫌计算机黑客和洗钱犯罪。 西班牙警方拘留了 LockBit 基础设施的主要协助者之一，扣押了该组织使用的九台服务器。

"克罗诺斯行动"（Operation Cronos）的这一行动是国际网络当局与 LockBit 之间正在进行的猫鼠游戏的最新行动。早在今年 2 月，由美国国家航空航天局（NCA）和联邦调查局（FBI）领导的国际执法联盟就宣布已经渗透到 LockBit 的官方网站，从而将两者之间旷日持久的争斗公之于众。在这场历时数年的行动中，这些机构利用 LockBit 面向公众的网站中的一个漏洞，夺取了 LockBit 的基础设施，包括该团伙用来罗列和勒索受害者的暗网泄密网站。

当局还在二月份表示，他们已经在乌克兰和波兰逮捕了两名据称是LockBit的成员，并缴获了200多个属于与俄罗斯有联系的黑客的加密货币钱包。

行动宣布几天后，LockBit带着新的泄漏网站和新的受害者重返暗网，Cronos 行动于 5 月份再次公布了对俄罗斯人 Dmitry Khoroshev 的新指控，指控他参与了 LockBit.  的创建、开发和管理。

NCA 表示，虽然 LockBit 仍然活跃，但迄今为止采取的行动已经对勒索软件的运行产生了重大影响。 自 5 月份以来，LockBit 附属公司的数量已从约 200 家减少到 70 家，并补充说，虽然该团伙声称仍在通过在其暗网泄漏网站上发布新的受害者信息来保持活跃，但其中大多数都是重复受害者或报假案。

该机构称，对 LockBit 勒索软件的调查还揭示了有关该团伙源代码及其运作方式的新细节。 当局说，LockBit 的代码是这样编写的：即使受害者支付了赎金要求，它也不会删除受害者的数据。