上周在乌克兰的一次国际联合执法行动中，成功逮捕某勒索软件的头目和四名同伙。

欧洲刑警组织周二在一份新闻稿中宣布了这一协调努力，介绍了该组织的手段及其对受害者组织造成的重大损害。这次行动发生在11月21日，包括来自欧洲刑警组织、乌克兰、挪威、瑞士、法国、德国和美国的当局，他们一起在乌克兰各地进行了30多次搜查，逮捕了5人，其中包括一名32岁的未透露姓名的头目。

欧洲刑警组织透露，该组织成立于 2018 年，以 LockerGoga、MegaCortex、Hive 和 Dharma 勒索软件为目标。在欧洲刑警组织领导的调查中，当局观察到使用了暴力攻击、SQL注入和社会工程技术。欧洲刑警组织表示，通过加密受害者机器和部署有效工具，勒索软件组织基本上使企业“陷入停滞”。

最近备受瞩目的勒索软件攻击表明，这些技术对受害者组织来说是多么危险。虽然周二的新闻稿没有将 Clop 勒索软件列为观察到的勒索软件之一，但 Clop 勒索软件组织在对 Progress Software 的 MoveIt Transfer 产品的广泛攻击中利用了 SQL 注入。

与此同时，在10月份，社会工程活动导致Okta客户（包括两家拉斯维加斯赌场）的账户泄漏。这些攻击归咎于Scattered Spider，在路透社的一份报告中称联邦调查局在米高梅度假村和凯撒娱乐攻击中没有逮捕，这让这些供应商感到沮丧。

欧洲刑警组织表示，周二被捕的勒索软件嫌疑人使用网络钓鱼电子邮件窃取用户名和密码。更令人震惊的是，他们通过使用 TrickBot 恶意软件、Cobalt Strike 和 PowerShell Empire 逃避了检测，并获得了额外的网络访问权限。这些工具使威胁行为者能够在部署勒索软件之前破坏受害组织环境中尽可能多的系统。

欧洲刑警组织在新闻稿中写道：“被调查的个人被认为是团伙的一部分，该团伙对71个国家的组织进行了一系列备受瞩目的勒索软件攻击。该调查确定，肇事者加密了属于大公司的250多台服务器，造成超过数亿欧元的损失。”

欧洲刑警组织表示，在欧洲刑警组织和欧洲司法组织的支持下，法国当局于2019年首次发起联合行动，联合来自挪威、乌克兰和英国的调查人员。荷兰、德国、瑞士和美国当局通过独立调查提供了额外的支持。欧洲刑警组织表示：“这种国际合作一直坚定不移，即使在乌克兰持续战争带来的挑战中也持续存在。”

受害者遭受社会工程攻击

乌克兰国家警察周二在另一篇博客文章中提供了更多细节，强调勒索软件组织使用自行开发的恶意软件和“几种加密病毒”。更重要的是，它扩展了社会工程运动，这是危险团体一直利用的技术。

乌克兰国家警察在博客文章中写道；“首先，攻击者使用来自开源和社会工程方法的信息入侵了受害公司员工的帐户。”

看来这些方法很有效。警方表示，多年来，嫌疑人给受害者组织造成了超过8200万美元的损失。其中一名受害者是荷兰领先的化工公司之一。

虽然受害者组织仍未透露姓名，但警方表示，所谓的勒索软件组织要求将 450 个比特币发送到加密货币钱包，这在勒索软件组织中很常见。在逮捕期间，执法部门没收了计算机设备、汽车、银行和SIM卡，以及近400万格里夫纳（相当于110,000美元）以及加密货币资产。

这些逮捕标志着正在进行的勒索软件斗争的最新成果。今年1月，美国联邦调查局（FBI）宣布查封了Hive勒索软件服务器。六个月前，该政府机构渗透了 Hive 的网络，并捕获了解密密钥，以帮助受害组织从攻击中恢复过来，而没有屈服于要求。在周二的新闻稿中，欧洲刑警组织表示，LockerGoga和MegaCortex勒索软件变体的解密工具现已推出。

威胁情报供应商 Analyst1 的首席安全策略师Jon DiMaggio表示，周二的逮捕行动可能会对阻碍勒索软件活动产生重大影响，特别是如果嫌疑人是 2020 年针对Norsk Hydro 的攻击的幕后黑手，该攻击涉及 LockerGoga 勒索软件，这是破获中提到的一种攻击软件。然而，他表示，该公告缺乏有关嫌疑人的关键细节，无法确定从长远来看该行动的有效性。

DiMaggio在给TechTarget编辑部的一封电子邮件中说：“我的问题是，这是附属机构，核心成员还是洗钱者？如果逮捕的是该组织的核心成员，那将更加重要。所以，我正在等待细节出来。无论怎样，这都是一件好事。”

在给TechTarget社论的另一份声明中，Mandiant的网络犯罪分析主管Kimberly Goody同意，这次逮捕可能会破坏勒索软件活动。她推测，嫌疑人可能是最初的访问经纪人或洗钱者，他们在不断变化的威胁环境中发挥着至关重要的作用。

Goody说：“当网络犯罪社区开始从大规模分布式勒索软件和销售点操作转向针对组织的入侵后勒索软件部署时，LockerGoga和MegaCortex是一些早期使用的勒索软件变体。”

她补充说，周二新闻稿中提到的勒索软件变种与对医疗保健和其他关键行业的攻击有关。该新闻稿还详细介绍了相关的策略、技术和程序，这与Mandiant发现的Fin6组织所使用的相同，Fin6自2014年以来一直保持活跃。这包括使用 TrickBot 和 LockerGoga。

Goody称：“然而，鉴于网络犯罪生态系统的复杂性和相互依存性，我们目前无法确认这一执法行动是否与这个组织有关。”