在执法部门黑客攻击其服务器不到一周后,LockBit团伙正在新的基础设施上重新启动勒索软件操作,并威胁将更多的攻击集中在政府部门。
在模拟联邦调查局泄密的信息中,该团伙专门为了引起注意,发布了一条冗长的消息,讲述了他们的疏忽导致了此次泄露,以及未来的行动计划。
LockBit勒索软件持续攻击
2月19日,当局拆除了LockBit的基础设施,其中包括托管数据泄露网站及其镜像的34台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。
五天后,LockBit回来了,并提供了有关漏洞的详细信息以及他们将如何运营业务以使他们的基础设施更难以被黑客攻击。
攻击发生后,该团伙立即确认了此次泄露,称他们只丢失了运行PHP的服务器,没有PHP的备份系统未受影响。
周六,LockBit宣布将恢复勒索软件业务,并发布损害控制通信,承认“个人疏忽和不负责任”导致执法部门扰乱了其在克罗诺斯行动中的活动。
该团伙保留了品牌名称,并将其数据泄露网站转移到了新的.onion地址,该地址列出了五名受害者,并附有发布被盗信息的倒计时器。
过时的PHP服务器
LockBit表示,执法部门(他们统称为FBI)入侵了两个主要服务器,“因为金钱太多,在过去的5年里,我变得非常懒惰。”
“由于我个人的疏忽和不负责任,我放松了警惕,没有及时更新PHP。”威胁行为者表示,受害者的管理和聊天面板服务器以及博客服务器正在运行的PHP 8.1.2版本,并且很可能是利用CVE-2023-3824的关键漏洞进行了黑客攻击。
LockBit表示,他们更新了PHP服务器,并宣布将奖励任何在最新版本中发现漏洞的人。
网络犯罪分子猜测“联邦调查局”入侵其基础设施的原因是,这是因为一月份对富尔顿县的勒索软件攻击,这带来了信息泄露的风险,“许多有趣的事情和唐纳德·特朗普的法庭案件可能会导致信息泄露,这将影响即将到来的美国大选。”
这使得LockBit相信,通过更频繁地攻击“.gov部门”,他们将迫使“FBI”展示其是否有能力继续攻击该团伙。
威胁行为者表示,执法部门“获得了一个数据库、网络面板来源、并非他们声称来源的存储以及一小部分未受保护的解密器。”
分散的附属机构
在克罗诺斯行动期间,当局收集了1000多个解密密钥。LockBit声称警方从“未受保护的解密程序”中获得了这些密钥,服务器上有近20000个解密程序,大约是整个操作过程中生成的约40000个解密器的一半。
威胁行为者将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建程序,通常由低级别附属机构使用,这些附属机构仅收取2000美元的较小赎金。
LockBit计划升级其基础设施的安全性,并切换为手动发布解密工具和试用文件解密,以及在多个服务器上托管附属面板,并根据信任级别为其合作伙伴提供对不同副本的访问权限。
“由于面板的分离和更大的去中心化,在自动模式下没有试用解密,最大限度地保护每个公司的解密器,黑客攻击的机会将大大减少”-LockBit
LockBit发出的长篇信息看起来像是损害控制,并试图为受损的声誉恢复可信度。
该团伙遭受了沉重打击,即使它设法恢复了服务器,附属机构也有充分的理由不信任。