在遭受英美等國(guó)執(zhí)法部門的致命打擊后，“勒索軟件之王“LockBit在不到一周的時(shí)間內(nèi)死灰復(fù)燃，重新啟動(dòng)了勒索軟件業(yè)務(wù)，公布了新的數(shù)據(jù)泄露站點(diǎn)，并威脅將把更多西方政府部門放入攻擊名單。

LockBit創(chuàng)始人在“復(fù)活聲明“中揭露FBI倉(cāng)促發(fā)動(dòng)的這次執(zhí)法行動(dòng)是“狗急跳墻”，因?yàn)長(zhǎng)ockBit的加盟組織在一次攻擊中掌握了美國(guó)前總統(tǒng)特朗普的敏感信息。

LockBit死灰復(fù)燃

上周六，LockBit創(chuàng)始人宣布恢復(fù)勒索軟件業(yè)務(wù)，并發(fā)布了“復(fù)活聲明”公告，承認(rèn)由于“個(gè)人疏忽和不負(fù)責(zé)任”導(dǎo)致執(zhí)法部門的“Cronos行動(dòng)”中嚴(yán)重?cái)_亂了其活動(dòng)。

LockBit創(chuàng)始人在聲明中復(fù)盤了遭受攻擊的原因，聲稱由于“偷懶“沒有及時(shí)更新存在漏洞的系統(tǒng)，另外不排除執(zhí)法部門還利用了零日漏洞。LockBit創(chuàng)始人還推測(cè)其他RaaS勒索軟件組織（LockBit的競(jìng)爭(zhēng)對(duì)手）可能也已遭到執(zhí)法部門入侵。

LockBit創(chuàng)始人在聲明中宣布將保留LockBit品牌名稱，并將數(shù)據(jù)泄露網(wǎng)站轉(zhuǎn)移到一個(gè)新的.onion地址，該地址列出了五個(gè)受害者的信息，并附上了數(shù)據(jù)泄露倒計(jì)時(shí)計(jì)時(shí)器。

重新啟動(dòng)的LockBit數(shù)據(jù)泄露網(wǎng)站顯示了五個(gè)受害者

一個(gè)致命的PHP漏洞

2月19日，多國(guó)聯(lián)合執(zhí)法機(jī)構(gòu)突襲了LockBit的基礎(chǔ)設(shè)施，繳獲了34臺(tái)服務(wù)器，這些服務(wù)器用于托管數(shù)據(jù)泄露網(wǎng)站及其鏡像、從受害者竊取的數(shù)據(jù)、加密貨幣地址、解密密鑰和附屬機(jī)構(gòu)面板。

在被“清剿“之后，LockBit立即確認(rèn)了攻擊，并表示他們只損失了運(yùn)行PHP的服務(wù)器，而沒有運(yùn)行PHP的備份系統(tǒng)則完好無損。

LockBit創(chuàng)始人在聲明中表示，執(zhí)法部門（聲明將其統(tǒng)稱為FBI）入侵了兩臺(tái)主服務(wù)器，“因?yàn)榻鹈约堊黹L(zhǎng)達(dá)5年，我變得非常懶惰?！?/p>

“由于我個(gè)人的疏忽和不負(fù)責(zé)任，沒有及時(shí)更新PHP?！盠ockBit創(chuàng)始人說道：“遭到入侵和接管的聊天面板服務(wù)器以及博客服務(wù)器運(yùn)行的是PHP8.1.2，并可能被執(zhí)法機(jī)構(gòu)利用CVE-2023-3824漏洞進(jìn)行攻擊。”LockBit表示已經(jīng)更新了PHP服務(wù)器，并宣布將獎(jiǎng)勵(lì)任何找到最新版本漏洞的人。

FBI倉(cāng)促出擊與特朗普數(shù)據(jù)泄露有關(guān)

LockBit創(chuàng)始人還推測(cè)“FBI”倉(cāng)促入侵其基礎(chǔ)設(shè)施的原因與特朗普和美國(guó)大選有關(guān)：

1月份LockBit聯(lián)盟組織針對(duì)富爾頓縣的勒索軟件攻擊有可能泄露了美國(guó)前總統(tǒng)唐納德·特朗普的敏感信息，這些信息可能會(huì)影響即將到來的美國(guó)大選。

LockBit創(chuàng)始人認(rèn)為，潛伏在其系統(tǒng)中的FBI在尚未掌握逮捕創(chuàng)始人和主要合伙人重要線索時(shí)提前發(fā)動(dòng)攻擊，是為了“封鎖消息”，阻止特朗普的文件被泄露。

在聲明中，LockBit直接向FBI宣戰(zhàn)，聲稱將通過“更頻繁地攻擊政府部門”，迫使“FBI”展示其是否有能力（繼續(xù)）攻擊LockBit。

FBI夸大戰(zhàn)果？

在“Cronos行動(dòng)”期間，執(zhí)法機(jī)構(gòu)宣稱獲取了超過1000個(gè)解密密鑰。但LockBit聲稱FBI僅從“未保護(hù)的解密器”中獲取了密鑰，僅占LockBit整個(gè)運(yùn)營(yíng)期間生成的大約4萬個(gè)解密器的2.5%。

LockBit聲稱這些“未保護(hù)的解密器”沒有啟用“最大解密保護(hù)”功能，通常由只索取2000美元贖金的低級(jí)聯(lián)盟組織使用。

LockBit宣稱將取消自動(dòng)試用解密，所有試用解密和解密器的發(fā)放僅在手動(dòng)模式下進(jìn)行?！霸谙乱淮慰赡馨l(fā)生的攻擊中，F(xiàn)BI將無法免費(fèi)獲得任何一個(gè)解密器?！甭暶髡f道。

Lockbit還計(jì)劃升級(jí)其基礎(chǔ)設(shè)施的安全性，將附屬機(jī)構(gòu)面板托管在多個(gè)服務(wù)器上，根據(jù)信任級(jí)別為其合作伙伴提供不同副本的訪問權(quán)限。

“由于面板更加去中心化，自動(dòng)模式下沒有試用解密，每個(gè)公司的解密器得到最大保護(hù)，被黑的可能性將大大降低”-LockBit

LockBit的長(zhǎng)篇聲明看起來像是試圖修復(fù)受損的“聲譽(yù)”，該團(tuán)伙遭受了沉重打擊，即使設(shè)法恢復(fù)服務(wù)器，短時(shí)間內(nèi)也很難取得附屬機(jī)構(gòu)的信任。