来源:彭博社

1月份,它攻击了英国皇家邮政,导致国际邮件运送中断。不到一个月,它又袭击了一家英国金融科技公司,致使全球衍生品交易陷入瘫痪。日本最大的海运港口和波音公司的零部件和分销业务也曾是它的受害者。

它是LockBit,有史以来攻击次数最多的勒索软件团伙之一。与LockBit近期实施的攻击相比,没有哪一起像周四对中国工商银行的袭击那样,对整个金融界造成了如此大的震动。按总资产计全球第一大银行工商银行周四披露遭黑客攻击,导致一些美债市场的交易无法清算,迫使经纪商和交易员调整交易安排。

“确实让人震惊,”瑞典网络安全公司Truesec的创始人Marcus Murray表示。这种大规模、高调的攻击“会使全球各地的大型银行从今天开始竞相加强防御”。

LockBit如今的破坏力,酝酿了大约四年。据美国司法部,该团伙至少从2020年初开始活跃,在全球范围内攻击了多达1000名受害者,勒索了超过1亿美元的赎金。行业专家称,该组织的成员与俄罗斯有关联,在俄语网络犯罪论坛上可以看到他们活跃的身影。

该团伙是所谓“以勒索软件作为服务”的企业。其核心黑客成员开发恶意软件和其他工具。自由网络罪犯随后投身LockBit,获取其工具和基建,并开展黑客攻击。网络安全公司指出,若攻击成功,LockBit会获得一笔佣金,通常是所支付赎金的大约20%左右。

“他们把它当生意一样经营,这么解释最恰当,”Analyst1首席安全策略师Jon DiMaggio今年早些时候接受采访时表示。“创始人把自己当作史蒂夫·乔布斯一样来经营LockBit,对他们来说很成功,其他人就遭殃了。”

LockBit黑客使用所谓的勒索软件渗入并挟持计算机系统。他们要求支付费用,才会解锁被入侵的计算机,还经常以泄露被盗数据为威胁,以迫使受害者付款。

网络安全公司卡巴斯基称,该团伙的受害者遍布欧洲、美国,以及中国、印度、印尼和乌克兰。

该团伙究竟有多少人参与、他们身处何处尚不清楚,但其在网站上表示,不会攻击后苏联国家,因为其大多数开发人员和合作伙伴在这些国家出生和长大。

截至周五早间,LockBit的网站上尚未将工商银行列为受害者。Truesec的威胁情报专家Mattias W?hlén说,这并不罕见。“许多最初的勒索信中都包含这样的提议,如果受害者快速付款,勒索软件组织不会公布受害者姓名,以避免其公开受辱。”

安全服务公司CyberSheath的首席执行官Eric Noonan将LockBit描述为“2022年全球调配最多的勒索软件”,称其今年也“相当活跃”。不过Noonan表示:“一家中资银行成为攻击目标确实令人惊讶。”

W?hlén表示,由于中国政府禁止加密货币交易——黑客首选的支付方式——犯罪团伙一般不针对中国。他表示,中国传统上也被认为是俄罗斯的盟友,因此与俄罗斯有关系的袭击者不太会针对中国。

“如果这次的攻击最终证明是一个错误,”Noonan称。“那么LockBit有可能参与帮助修复,提供免费解密,就像过去攻击错误对象后他们的做法那样。”

但是,LockBit黑客过去曾明确表示,他们是平等的机会主义者。在去年年初的一份声明中,他们称自己“不具有政治性”。

“对我们来说,只是生意而已,”该团伙表示。“我们的工作无害而有用,我们只对钱感兴趣。”