专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

卧底Lockbit勒索团伙！网络安全研究员渗透并曝光了LockBit组织的领袖

网空闲话plus · 公众号 · · 2024-08-10 08:03

正文

在2024年8月，网络安全研究员乔恩·迪马乔（Jon DiMaggio）在黑客大会Def Con上分享了他对LockBit勒索软件团伙领导者的渗透故事。迪马乔，Analyst1公司的研究员，通过一系列精心策划的行动，成功获得了LockBit团伙领袖的信任，并最终曝光了他的真实身份。

在这场精心策划的网络心理战中，网络安全研究员Jon DiMaggio成功接近并揭露了LockBit勒索软件团伙的管理员Dmitry Khoroshev的真实身份。DiMaggio首先利用多个伪身份账户接触与LockBitSupp有直接联系的人，并观察他们的互动，逐步构建起自己在地下网络的犯罪人物形象。在与LockBitSupp建立直接友好的关系后，他通过轻松的聊天和提问，巧妙地获取了团伙操作的细节。

2023年1月，DiMaggio发表了一份关于其卧底研究的长篇报告，公开了自己渗透团伙的行动，但与LockBitSupp的关系并未中断。随后，DiMaggio通过匿名线报获得的Yandex邮箱地址，逐步揭开了LockBitSupp的身份谜团。当美国执法部门宣布将公布LockBit管理员身份时，DiMaggio联系FBI并告知自己的发现，FBI的回应让他确信自己找对了人。最终，随着美国司法部公开指控Khoroshev，DiMaggio也发布了自己的报告，揭露了Khoroshev的详细信息。DiMaggio在报告中向Khoroshev发出了告别信息，劝其收手，同时表达了对这位长期对手的尊重。

事件背景

LockBit勒索软件团伙以其高效且破坏力强的攻击手段而闻名。近期，国际执法部门曾控制了LockBit的黑暗网络网站，并挂上了“该网站现已由执法部门控制”的信息，虽然这项行动很快被LockBit重新启动的站点所抵消。然而，2024年5月6日，执法机关更新了被控网站，并宣布将在24小时内揭露LockBit管理员的身份。这一公告引发了迪马乔的兴趣，因为他一直在暗中追踪这个团伙。

LockBit勒索软件组织自2019年首次出现以来，迅速演变成为一个高度组织化、多产的网络犯罪集团。起初，LockBit以其直接针对企业的勒索软件攻击而闻名，要求高额赎金以解密数据。随着时间的推移，该组织不断升级其恶意软件，增强加密技术，扩展其攻击手段，包括利用零日漏洞和供应链攻击，以提高其成功率和影响力。LockBit还引入了一种"勒索软件即服务"(RaaS)模式，允许附属成员发起攻击并分享收益，从而扩大了其操作规模和地理覆盖范围。此外，LockBit通过在其所谓的"新闻网站"上发布被盗数据的威胁，增加了对受害者的压力，迫使其支付赎金。尽管面临国际执法机构的打击，LockBit仍然不断适应和进化，展示出其在网络犯罪领域的韧性和创新能力。

渗透行动

迪马乔的渗透工作始于几年前。当时，他通过创建一系列虚假的社交媒体账户，模仿有黑客背景的角色，以便接触和观察LockBit的成员。通过这些虚假账户，他建立了一个看似有经验的黑客形象，以便能更自然地与LockBit成员交流，特别是与团伙领导者LockBitSupp建立联系。

迪马乔通过与LockBitSupp的互动，逐渐获取了对方的信任。他不仅与其闲聊，还提出关于勒索攻击的技术细节和操作方法的问题。这一过程持续了相当长的时间，尽管迪马乔最初的尝试加入团伙被拒绝，但他与LockBitSupp的关系逐渐变得亲密。

暴露与挑战

2023年1月，迪马乔完成了一份详细的报告，揭露了他的渗透发现，并“烧掉”了所有虚假的黑客身份。令他意外的是，LockBitSupp对这份报告的反应并不像他预期的那样剧烈。反而，LockBitSupp在论坛上公开调侃迪马乔，甚至使用了迪马乔的LinkedIn照片作为自己的头像，显然在游戏中与迪马乔较量。

迪马乔的调查并没有止步于此。他在公开场合用一种讽刺的方式威胁LockBitSupp，声称如果他们不支付1000万美元，他将公布新的研究成果。这个行为让部分黑客担忧，显示了迪马乔在心理战方面的成功。

与此同时，LockBitSupp曾因黑客攻击社区医院而暂时消失，迪马乔对此感到愤怒。他选择继续与LockBitSupp保持联系，同时向FBI报告了自己的调查进展。 FBI建议迪马乔等待，直到执法部门公开LockBitSupp的身份。

公开曝光

2024年8月，随着执法机关宣布Dmitry Khoroshev为LockBit的实际管理者，迪马乔也准备好公开他的发现。他在自己的报告中揭露了Khoroshev的真实身份，包括他的住址和联系方式，并写了一封告别信，表达了对Khoroshev的尊重和对他行为的反感。

迪马乔的公开曝光引发了广泛关注，也为网络安全研究界提供了一个重要案例：如何通过深入渗透和心理战术来揭露和打击网络犯罪分子。

后续影响

尽管迪马乔的行动对LockBit团伙造成了严重打击，但他也承认，这样的行动可能会带来潜在的报复风险。他希望自己的经历能够为其他网络安全研究员提供借鉴，并提醒大家渗透黑客团伙可能会面临的挑战和后果。

通过此次事件，迪马乔不仅揭露了一个重要网络犯罪团伙的核心人物，也展示了网络安全研究员如何通过巧妙的策略和深入的调查，在打击网络犯罪的道路上取得重要进展。

附录1 Lockbit勒索案例

2024年7月 - U.S. Electric Utility
LockBit攻击了一家美国电力公司，导致部分地区电力中断，造成重大运营和经济损失。
2024年6月 - Major Brazilian Bank
攻击了巴西一家大型银行，泄露客户账户信息，影响银行的在线服务和内部操作。
2024年5月 - European Health Authority
攻击了欧洲的一家健康管理机构，影响医疗记录系统，对患者隐私和医疗服务产生严重威胁。
2024年4月 - Japanese Manufacturing Firm
攻击了一家日本制造企业，导致生产线停工，干扰供应链管理。
2024年3月 - Canadian Government Agency
攻击了加拿大的一家政府机构，导致内部系统瘫痪，对敏感数据的安全性产生影响。

卧底Lockbit勒索团伙！网络安全研究员渗透并曝光了LockBit组织的领袖

正文

请到「今天看啥」查看全文