本文來自微信公眾號“GoUpSec”。
在遭受英美等國執(zhí)法部門的致命打擊后,“勒索軟件之王“LockBit在不到一周的時間內(nèi)死灰復(fù)燃,重新啟動了勒索軟件業(yè)務(wù),公布了新的數(shù)據(jù)泄露站點,并威脅將把更多西方政府部門放入攻擊名單。
LockBit創(chuàng)始人在“復(fù)活聲明“中揭露FBI倉促發(fā)動的這次執(zhí)法行動是“狗急跳墻”,因為LockBit的加盟組織在一次攻擊中掌握了美國前總統(tǒng)特朗普的敏感信息。
LockBit死灰復(fù)燃
上周六,LockBit創(chuàng)始人宣布恢復(fù)勒索軟件業(yè)務(wù),并發(fā)布了“復(fù)活聲明”公告,承認由于“個人疏忽和不負責(zé)任”導(dǎo)致執(zhí)法部門的“Cronos行動”中嚴(yán)重擾亂了其活動。
LockBit創(chuàng)始人在聲明中復(fù)盤了遭受攻擊的原因,聲稱由于“偷懶“沒有及時更新存在漏洞的系統(tǒng),另外不排除執(zhí)法部門還利用了零日漏洞。LockBit創(chuàng)始人還推測其他RaaS勒索軟件組織(LockBit的競爭對手)可能也已遭到執(zhí)法部門入侵。
LockBit創(chuàng)始人在聲明中宣布將保留LockBit品牌名稱,并將數(shù)據(jù)泄露網(wǎng)站轉(zhuǎn)移到一個新的.onion地址,該地址列出了五個受害者的信息,并附上了數(shù)據(jù)泄露倒計時計時器。
重新啟動的LockBit數(shù)據(jù)泄露網(wǎng)站顯示了五個受害者資料來源:BleepingComputer
一個致命的PHP漏洞
2月19日,多國聯(lián)合執(zhí)法機構(gòu)突襲了LockBit的基礎(chǔ)設(shè)施,繳獲了34臺服務(wù)器,這些服務(wù)器用于托管數(shù)據(jù)泄露網(wǎng)站及其鏡像、從受害者竊取的數(shù)據(jù)、加密貨幣地址、解密密鑰和附屬機構(gòu)面板。
在被“清剿“之后,LockBit立即確認了攻擊,并表示他們只損失了運行PHP的服務(wù)器,而沒有運行PHP的備份系統(tǒng)則完好無損。
LockBit創(chuàng)始人在聲明中表示,執(zhí)法部門(聲明將其統(tǒng)稱為FBI)入侵了兩臺主服務(wù)器,“因為金迷紙醉長達5年,我變得非常懶惰。”
“由于我個人的疏忽和不負責(zé)任,沒有及時更新PHP。”LockBit創(chuàng)始人說道:“遭到入侵和接管的聊天面板服務(wù)器以及博客服務(wù)器運行的是PHP8.1.2,并可能被執(zhí)法機構(gòu)利用CVE-2023-3824漏洞進行攻擊。”LockBit表示已經(jīng)更新了PHP服務(wù)器,并宣布將獎勵任何找到最新版本漏洞的人。
FBI倉促出擊與特朗普數(shù)據(jù)泄露有關(guān)
LockBit創(chuàng)始人還推測“FBI”倉促入侵其基礎(chǔ)設(shè)施的原因與特朗普和美國大選有關(guān):
1月份LockBit聯(lián)盟組織針對富爾頓縣的勒索軟件攻擊有可能泄露了美國前總統(tǒng)唐納德·特朗普的敏感信息,這些信息可能會影響即將到來的美國大選。
LockBit創(chuàng)始人認為,潛伏在其系統(tǒng)中的FBI在尚未掌握逮捕創(chuàng)始人和主要合伙人重要線索時提前發(fā)動攻擊,是為了“封鎖消息”,阻止特朗普的文件被泄露。
在聲明中,LockBit直接向FBI宣戰(zhàn),聲稱將通過“更頻繁地攻擊政府部門”,迫使“FBI”展示其是否有能力(繼續(xù))攻擊LockBit。
FBI夸大戰(zhàn)果?
在“Cronos行動”期間,執(zhí)法機構(gòu)宣稱獲取了超過1000個解密密鑰。但LockBit聲稱FBI僅從“未保護的解密器”中獲取了密鑰,僅占LockBit整個運營期間生成的大約4萬個解密器的2.5%。
LockBit聲稱這些“未保護的解密器”沒有啟用“最大解密保護”功能,通常由只索取2000美元贖金的低級聯(lián)盟組織使用。
LockBit宣稱將取消自動試用解密,所有試用解密和解密器的發(fā)放僅在手動模式下進行。“在下一次可能發(fā)生的攻擊中,F(xiàn)BI將無法免費獲得任何一個解密器。”聲明說道。
Lockbit還計劃升級其基礎(chǔ)設(shè)施的安全性,將附屬機構(gòu)面板托管在多個服務(wù)器上,根據(jù)信任級別為其合作伙伴提供不同副本的訪問權(quán)限。
“由于面板更加去中心化,自動模式下沒有試用解密,每個公司的解密器得到最大保護,被黑的可能性將大大降低”-LockBit
LockBit的長篇聲明看起來像是試圖修復(fù)受損的“聲譽”,該團伙遭受了沉重打擊,即使設(shè)法恢復(fù)服務(wù)器,短時間內(nèi)也很難取得附屬機構(gòu)的信任。