在遭受英美等國執(zhí)法部門的致命打擊后，“勒索軟件之王“LockBit在不到一周的時間內(nèi)死灰復(fù)燃，重新啟動了勒索軟件業(yè)務(wù)，公布了新的數(shù)據(jù)泄露站點，并威脅將把更多西方政府部門放入攻擊名單。

LockBit創(chuàng)始人在“復(fù)活聲明“中揭露FBI倉促發(fā)動的這次執(zhí)法行動是“狗急跳墻”，因為LockBit的加盟組織在一次攻擊中掌握了美國前總統(tǒng)特朗普的敏感信息。

LockBit死灰復(fù)燃

上周六，LockBit創(chuàng)始人宣布恢復(fù)勒索軟件業(yè)務(wù)，并發(fā)布了“復(fù)活聲明”公告，承認(rèn)由于“個人疏忽和不負(fù)責(zé)任”導(dǎo)致執(zhí)法部門的“Cronos行動”中嚴(yán)重擾亂了其活動。

LockBit創(chuàng)始人在聲明中復(fù)盤了遭受攻擊的原因，聲稱由于“偷懶“沒有及時更新存在漏洞的系統(tǒng)，另外不排除執(zhí)法部門還利用了零日漏洞。LockBit創(chuàng)始人還推測其他RaaS勒索軟件組織（LockBit的競爭對手）可能也已遭到執(zhí)法部門入侵。

LockBit創(chuàng)始人在聲明中宣布將保留LockBit品牌名稱，并將數(shù)據(jù)泄露網(wǎng)站轉(zhuǎn)移到一個新的.onion地址，該地址列出了五個受害者的信息，并附上了數(shù)據(jù)泄露倒計時計時器。

重新啟動的LockBit數(shù)據(jù)泄露網(wǎng)站顯示了五個受害者

一個致命的PHP漏洞

2月19日，多國聯(lián)合執(zhí)法機構(gòu)突襲了LockBit的基礎(chǔ)設(shè)施，繳獲了34臺服務(wù)器，這些服務(wù)器用于托管數(shù)據(jù)泄露網(wǎng)站及其鏡像、從受害者竊取的數(shù)據(jù)、加密貨幣地址、解密密鑰和附屬機構(gòu)面板。

在被“清剿“之后，LockBit立即確認(rèn)了攻擊，并表示他們只損失了運行PHP的服務(wù)器，而沒有運行PHP的備份系統(tǒng)則完好無損。

LockBit創(chuàng)始人在聲明中表示，執(zhí)法部門（聲明將其統(tǒng)稱為FBI）入侵了兩臺主服務(wù)器，“因為金迷紙醉長達(dá)5年，我變得非常懶惰?！?/p>

“由于我個人的疏忽和不負(fù)責(zé)任，沒有及時更新PHP。”LockBit創(chuàng)始人說道：“遭到入侵和接管的聊天面板服務(wù)器以及博客服務(wù)器運行的是PHP8.1.2，并可能被執(zhí)法機構(gòu)利用CVE-2023-3824漏洞進(jìn)行攻擊。”LockBit表示已經(jīng)更新了PHP服務(wù)器，并宣布將獎勵任何找到最新版本漏洞的人。

FBI倉促出擊與特朗普數(shù)據(jù)泄露有關(guān)

LockBit創(chuàng)始人還推測“FBI”倉促入侵其基礎(chǔ)設(shè)施的原因與特朗普和美國大選有關(guān)：

1月份LockBit聯(lián)盟組織針對富爾頓縣的勒索軟件攻擊有可能泄露了美國前總統(tǒng)唐納德·特朗普的敏感信息，這些信息可能會影響即將到來的美國大選。

LockBit創(chuàng)始人認(rèn)為，潛伏在其系統(tǒng)中的FBI在尚未掌握逮捕創(chuàng)始人和主要合伙人重要線索時提前發(fā)動攻擊，是為了“封鎖消息”，阻止特朗普的文件被泄露。

在聲明中，LockBit直接向FBI宣戰(zhàn)，聲稱將通過“更頻繁地攻擊政府部門”，迫使“FBI”展示其是否有能力（繼續(xù)）攻擊LockBit。

FBI夸大戰(zhàn)果？

在“Cronos行動”期間，執(zhí)法機構(gòu)宣稱獲取了超過1000個解密密鑰。但LockBit聲稱FBI僅從“未保護(hù)的解密器”中獲取了密鑰，僅占LockBit整個運營期間生成的大約4萬個解密器的2.5%。

LockBit聲稱這些“未保護(hù)的解密器”沒有啟用“最大解密保護(hù)”功能，通常由只索取2000美元贖金的低級聯(lián)盟組織使用。

LockBit宣稱將取消自動試用解密，所有試用解密和解密器的發(fā)放僅在手動模式下進(jìn)行?！霸谙乱淮慰赡馨l(fā)生的攻擊中，F(xiàn)BI將無法免費獲得任何一個解密器?！甭暶髡f道。

Lockbit還計劃升級其基礎(chǔ)設(shè)施的安全性，將附屬機構(gòu)面板托管在多個服務(wù)器上，根據(jù)信任級別為其合作伙伴提供不同副本的訪問權(quán)限。

“由于面板更加去中心化，自動模式下沒有試用解密，每個公司的解密器得到最大保護(hù)，被黑的可能性將大大降低”-LockBit

LockBit的長篇聲明看起來像是試圖修復(fù)受損的“聲譽”，該團伙遭受了沉重打擊，即使設(shè)法恢復(fù)服務(wù)器，短時間內(nèi)也很難取得附屬機構(gòu)的信任。