信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”，作者/胡金魚(yú)。

在相關(guān)部門截獲其服務(wù)器不到一周，LockBit團(tuán)伙便在新的基礎(chǔ)設(shè)施上重新啟動(dòng)了勒索軟件，并威脅說(shuō)會(huì)將更多的攻擊集中在政府部門。

在聯(lián)邦調(diào)查局泄密模型下的一條消息中，該團(tuán)伙專門發(fā)布了一條冗長(zhǎng)的消息，講述了他們的疏忽導(dǎo)致了此次泄露，以及未來(lái)的行動(dòng)計(jì)劃。

LockBit勒索軟件持續(xù)攻擊

上周六，LockBit宣布將恢復(fù)勒索軟件業(yè)務(wù)，并發(fā)布公告，承認(rèn)因“個(gè)人疏忽和不負(fù)責(zé)任”導(dǎo)致擾亂了其在克羅諾斯行動(dòng)中的活動(dòng)。目前，該團(tuán)伙將其數(shù)據(jù)泄露網(wǎng)站轉(zhuǎn)移到了新的.onion地址，該地址列出了五名受害者，并附有發(fā)布被盜信息的倒計(jì)時(shí)器。

重新啟動(dòng)的LockBit數(shù)據(jù)泄露網(wǎng)站顯示有5名受害者

上周，有關(guān)部門拆除了LockBit的基礎(chǔ)設(shè)施，其中包括托管數(shù)據(jù)泄露網(wǎng)站及34臺(tái)服務(wù)器、從受害者竊取的數(shù)據(jù)、加密貨幣地址、解密密鑰以及附屬面板。

攻擊發(fā)生后，該團(tuán)伙稱他們只丟失了運(yùn)行PHP的服務(wù)器，沒(méi)有PHP的備份系統(tǒng)未受影響。

五天后，LockBit卷土重來(lái)并提供了有關(guān)漏洞的詳細(xì)信息，以及他們將如何運(yùn)營(yíng)業(yè)務(wù)以使他們的基礎(chǔ)設(shè)施更難以被攻擊。

過(guò)時(shí)的PHP服務(wù)器

LockBit表示，執(zhí)法部門（他們統(tǒng)稱為FBI）入侵了兩個(gè)主要服務(wù)器。

“由于我個(gè)人的疏忽和不負(fù)責(zé)任，我沒(méi)有及時(shí)更新PHP。”威脅分子表示，受害者的管理和聊天面板服務(wù)器以及博客服務(wù)器正在運(yùn)行PHP 8.1.2，并且很可能使用跟蹤為CVE-2023-3824的關(guān)鍵漏洞進(jìn)行了黑客攻擊。

隨后，LockBit表示他們更新了PHP服務(wù)器，并宣布日后將獎(jiǎng)勵(lì)任何在最新版本中發(fā)現(xiàn)漏洞的人。

威脅分子表示，執(zhí)法部門“獲得了數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)面板源、并非他們聲稱的儲(chǔ)物柜存根以及一小部分未受保護(hù)的解密器。”

去中心化附屬小組

在克羅諾斯行動(dòng)期間，相關(guān)部門收集了1000多個(gè)解密密鑰。LockBit聲稱警方從“未受保護(hù)的解密器”獲得了密鑰，服務(wù)器上有近20000個(gè)解密器，大約是整個(gè)操作過(guò)程中生成的約40000個(gè)解密器的一半。

威脅分子將“不受保護(hù)的解密器”定義為未啟用“最大解密保護(hù)”功能的文件加密惡意軟件的構(gòu)建，通常由低級(jí)別附屬機(jī)構(gòu)使用，這些附屬機(jī)構(gòu)僅收取2000美元的贖金。

LockBit計(jì)劃升級(jí)其基礎(chǔ)設(shè)施的安全性，并切換為手動(dòng)發(fā)布解密器和試用文件解密，以及在多個(gè)服務(wù)器上托管附屬面板，并根據(jù)信任級(jí)別為其合作伙伴提供對(duì)不同副本的訪問(wèn)權(quán)限。

LockBit發(fā)出的長(zhǎng)信息試圖為受損的聲譽(yù)恢復(fù)可信度，但即使它設(shè)法恢復(fù)了服務(wù)器，附屬機(jī)構(gòu)也有充分的理由不信任。