上周,警方开展了一项重大行动来打击Lockbit黑客。该团伙发现自己的大部分基础设施被剥夺,包括大约 30 台服务器及其在暗网上的网站。在此过程中,两名专门从事洗钱活动的黑客被在乌克兰西部的一个小镇被捕。根据 FBI 或英国当局发布的新闻稿,此次行动为 Lockbit 在多年的恶意活动之后敲响了丧钟。
很快,安全专家就证实了调查人员的咆哮。尽管状况不佳,该团伙专门从事勒索软件还没有完全死掉。不出所料,这群人又出现了。这个周末,克罗诺斯行动后不到一周,Lockbit 在暗网上发布了一条消息评估其未来、进攻的原因及其活动。
克罗诺斯行动起源的疏忽
该消息由 Bleeping Computer 的同事转发,表明其服务器已恢复。与此同时,该团伙提出新的 Tor 域开展其业务。一个发布顽固受害者数据的新平台主要放在暗网上。在短短几天内,黑客就搭建了一个全新的基础设施。正如人们担心的那样,仍在猖獗的网络犯罪分子很快开始努力恢复 Lockbit 的全部功能。
此外,Lockbit 回到了允许警方组织行动的情况。该团伙头目承认曾表现“个人疏忽”等“不负责任”忽视更新 Lockbit PHP 服务器准时。这种疏忽使得警方能够利用 PHP 编程语言中的安全漏洞。 Lockbit 不知道这是未知的零日漏洞,还是最近发现的缺陷。无论如何,这就是调查人员渗透 Lockbit 系统的方式。该团伙承诺奖励在 PHP 代码中发现新漏洞的个人。
“我的服务器上安装的版本已知存在已知漏洞,因此这很可能是访问管理服务器 [...] 的方式””Lockbit 说道。
据网络犯罪分子称,在美国佐治亚州富尔顿县遭受勒索软件攻击后,联邦调查局促成了克罗诺斯行动。在这次攻势中,勒索软件造成了严重的计算机中断,同时夺取了大量机密文件。据Lockbit称,该病毒主要窃取的文件涉及“唐纳德·特朗普的法律事务”,可能会影响下届总统选举。去年夏天,前总统在这里被捕,随后被释放。为了防止 Lockbit 泄露这些敏感数据,FBI 会加速对该团伙的进攻。目前,没有任何证据支持黑客的说法。
Lockbit 管理者利用这一点贬低当局在克罗诺斯行动结束时获得的信息。据黑客称,调查人员只能获得一些解密密钥存在于服务器上。同样,他们透露,有关附属公司昵称的信息并不代表他们在暗网其他地方的假名。因此,这些数据不允许调查人员追溯。
该团伙的消息看起来像通讯操作旨在安抚勒索软件用户并减轻警方攻势对形象造成的损害。毫不奇怪,Lockbit 试图淡化克罗诺斯行动的规模。
Lockbit 已有 12 名新受害者
最重要的是,Lockbit 勒索软件似乎已经攻击了新的实体。本周末,黑客在专门针对暗网的新页面上在线发布了 12 名受害者的名单。例如,有一家英国钢铁公司、一家美国航空集团、联邦调查局,甚至还有一家法国工业物流公司。该网站还列出了针对富尔顿县的新袭击事件。
研究人员索福斯最近几天还发现了一系列使用 Lockbit 3.0 恶意软件的新攻击。该病毒显然利用了远程支持软件 ConnectWise ScreenConnect 代码中发现的两个漏洞。这两个缺陷都被开发人员及时修复了,但并不是每个人都安装了补丁。经过调查,Sophos 透露,它发现了一种非常特殊的 Lockbit 菌株,称为 Lockbit Black。
洛克比特的复仇
未来,Lockbit 誓言要攻击美国政府网站进行报复。据该团伙的头目称,这一策略将迫使联邦调查局向黑客施加压力,这最终将使他们变得更强大。面对这些不同的威胁,Lockbit 露出了獠牙,表明它不会那么容易被击败。
来源 : 电脑发出蜂鸣声
