上週,警方開展了一項重大行動來打擊Lockbit駭客。該團夥發現自己的大部分基礎設施被剝奪,包括大約 30 台伺服器及其在暗網上的網站。過程中,兩名專門從事洗錢活動的駭客被在烏克蘭西部的小鎮被捕。根據 FBI 或英國當局發布的新聞稿,這次行動為 Lockbit 在多年的惡意活動之後敲響了喪鐘。
很快,安全專家就證實了調查人員的咆哮。儘管狀況不佳,該團夥專門從事勒索軟體還沒完全死掉。不出所料,這群人又出現了。這個週末,克羅諾斯行動後不到一周,Lockbit 在暗網上發布了一則訊息評估其未來、進攻的原因及其活動。
克羅諾斯行動起源的疏忽
該訊息由 Bleeping Computer 的同事轉發,表明其伺服器已恢復。同時,該團夥提出新的 Tor 域開展其業務。一個發布頑固受害者資料的新平台主要放在暗網上。在短短幾天內,駭客就搭建了一個全新的基礎設施。正如人們所擔心的那樣,仍在猖獗的網路犯罪分子很快就開始努力恢復 Lockbit 的全部功能。
此外,Lockbit 回到了允許警方組織行動的情況。該集團頭目承認曾表現“個人疏忽”等“不負責任”忽視更新 Lockbit PHP 伺服器準時。這種疏忽使得警方能夠利用 PHP 程式語言中的安全漏洞。 Lockbit 不知道這是未知的零日漏洞,還是最近發現的缺陷。無論如何,這就是調查人員滲透 Lockbit 系統的方式。該團夥承諾獎勵在 PHP 程式碼中發現新漏洞的個人。
“我的伺服器上安裝的版本已知存在已知漏洞,因此這很可能是訪問管理伺服器 [...] 的方式”」Lockbit 說。
據網路犯罪分子稱,在美國喬治亞州富爾頓縣遭受勒索軟體攻擊後,聯邦調查局促成了克羅諾斯行動。在這次攻勢中,勒索軟體造成了嚴重的電腦中斷,同時奪取了大量機密文件。據Lockbit稱,該病毒主要竊取的文件涉及“唐納德·特朗普的法律事務”,可能會影響下屆總統選舉。去年夏天,前總統在這裡被捕,隨後被釋放。為了防止 Lockbit 洩露這些敏感數據,FBI 會加速對該團伙的攻擊。目前,沒有任何證據支持駭客的說法。
Lockbit 管理者利用這一點貶低當局在克羅諾斯行動結束時獲得的資訊。據駭客稱,調查人員只能獲得一些解密金鑰存在於伺服器上。同樣,他們透露,有關附屬公司暱稱的資訊並不代表他們在暗網其他地方的假名。因此,這些數據不允許調查人員追溯。
該團伙的消息看起來像通訊操作旨在安撫勒索軟體使用者並減輕警方攻勢對形象造成的傷害。毫不奇怪,Lockbit 試圖淡化克羅諾斯行動的規模。
Lockbit 已有 12 名新受害者
最重要的是,Lockbit 勒索軟體似乎已經攻擊了新的實體。本週末,駭客在專門針對暗網的新頁面上在線發布了 12 名受害者的名單。例如,一家專門從事鋼鐵業務的英國公司、一家美國航空集團、FBI,甚至一家法國工業物流公司。該網站還列出了針對富爾頓縣的新襲擊事件。
研究者索福斯最近幾天也發現了一系列使用 Lockbit 3.0 惡意軟體的新攻擊。該病毒顯然利用了遠端支援軟體 ConnectWise ScreenConnect 程式碼中發現的兩個漏洞。這兩個缺陷都被開發人員及時修復了,但並不是每個人都安裝了修補程式。經過調查,Sophos 透露,它發現了一種非常特殊的 Lockbit 菌株,稱為 Lockbit Black。
洛克比特的復仇
未來,Lockbit 誓言要攻擊美國政府網站報復。據該團伙的頭目稱,這一策略將迫使聯邦調查局向駭客施加壓力,最終將使他們變得更強大。面對這些不同的威脅,Lockbit 露出了獠牙,表明它不會那麼容易被擊敗。
來源 : 電腦發出蜂鳴聲
