11 月 10 日,中國工商銀行(ICBC)在美國的分公司遭受勒索軟件攻擊,干擾美國公債市場的部分交易。根據路透社報道,此次攻擊與過去一年,波音、英國金融科技公司 ION Trading UK、英國皇家郵政以及日本名古屋港等多家公司所遭受的網絡攻擊如出一轍,都是由黑客組織 LockBit 發動,不過這次攻擊對金融界造成的衝擊尤其嚴重。
LockBit 在 2020 首次露面,當時一款同名惡意軟件在俄語網絡犯罪論壇出現,因此有安全分析師認為該組織起源於俄羅斯。到目前為此,LockBit 並未公開表態支持任何國家政府,同時亦無任何政府公開與該組織有聯繫,他們在自己的暗網博客聲稱:「我們位於荷蘭,對政治毫無興趣,唯一目標是金錢。」短短 3 年內,美國官員已經把他們視為世界上最棘手的勒索軟件威脅,執法部門一直希望追蹤到成員的下落。
LockBit 確實在美國造成非常嚴重的破壞,受影響機構超過 1,700 間,幾乎橫跨每一個行業,例如金融服務、食品、學校、交通和政府部門。最近一個受害者是美國航空及國防業巨頭波音公司,11 月 10 日 LockBit 洩露了一批通過入侵波音系統獲得的內部數據。今年 2 月初,他們曾對金融交易服務集團 ION 進行黑客攻擊,最終影響一些世界主要銀行、券商和對沖基金,以及大量客戶的交易營運工作。
LockBit 通常會透過一種能加密數據的勒索軟件,入侵感染受害組織的系統,然後迫使受害機構支付贖金,以解密或解鎖數據。他們通常要求以加密貨幣的形式支付贖金,以保障收款人可以匿名,令執法人員更難追蹤犯案者和贖金的下落。美國和其他 40 國聯盟的官員一直嘗試通過建立國與國之間的共享情報機制,以遏制全球勒索軟件蔓延,這些情報包括 LockBit 一類科技犯罪分子的加密貨幣錢包地址。
LockBit 似乎對成功案例洋洋得意,其暗網博客有一個相冊,展示有甚麼受害組織,這個相冊幾乎每天都在更新。受害組織的名字旁邊有一個數字時鐘,顯示每個組織支付贖金的剩餘日數,如果到最後期限仍然未能支付,該組織便會發佈收集到的敏感數據。受害組織通常會尋求網絡安全公司協助,以確認有甚麼數據被洩露,並與黑客協商贖金金額。根據安全分析師的說法,這些談判通常會保密,有時可能需要幾天或幾週時間。
路透社分析指,LockBit 的成功有賴於所謂的「聯盟夥伴」,即一些被他們招攬用勒索工具進行攻擊的犯罪團體。其網站有詳細制定一套結盟規則,供那些可能提交「申請表」的網絡罪犯參考。其中一條規則是:「請求曾與我們合作的朋友或熟人作擔保。」這種網絡犯罪團體之間的聯盟,令追蹤此類黑客活動的工作更加困難,因為他們每次攻擊的策略和技術都可能不同。