近期,执法部门遭受黑客攻击,LockBit团伙已在新基础设施上重新启动了勒索软件操作,并威胁将更多的攻击重点放在政府部门上。
根据联邦调查局泄密模型透露,该团伙发布了一份详细声明,指明他们的疏忽导致了此次泄露,并概述了未来的行动计划,旨在引起关注。
LockBit 勒索软件持续攻击
该团伙保留了其品牌名称,并将数据泄露网站转移到了新的.onion地址。该网站列出了五名受害者,并附有发布被盗信息的倒计时器。
重新启动的 LockBit 数据泄露网站
2月19日,当局拆除了LockBit的基础设施,包括34台服务器,这些服务器托管了数据泄露网站及其镜像、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。
在攻击发生后,LockBit团队立即确认了泄露事件,称他们只丢失了运行PHP的服务器,并且未受影响的备份系统是基于PHP的。
五天后,LockBit团队重新启动了其业务,并提供了有关漏洞的详细信息,以及他们将如何运营业务以使其基础设施更难以遭受黑客攻击。
未更新的 PHP 服务器
黑客指出,由于个人疏忽和不负责任,他们没有及时更新PHP,导致受害者管理和聊天面板服务器以及博客服务器运行的是PHP 8.1.2版本,其很可能受到了CVE-2023-3824漏洞的黑客攻击。
LockBit表示,他们已经更新了PHP服务器,并宣布将奖励在最新版本中发现漏洞的人。
网络犯罪分子猜测,执法部门入侵其基础设施的原因可能是因为一月份对富尔顿县的勒索软件攻击,这增加了泄露信息的风险。
黑客表示,执法部门获得了数据库、网络面板源以及一小部分未受保护的解密器”。
去中心化
黑客将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建,通常由低级别附属机构使用,这些附属机构收取2000美元的赎金。
LockBit计划升级其基础设施的安全性,并切换为手动发布解密器和试用文件解密,以及在多个服务器上托管附属面板,并根据信任级别为其合作伙伴提供对不同副本的访问权限。
该团伙遭受了沉重打击,即使它设法恢复了服务器,附属机构也有充分的理由不信任。LockBit表示,通过面板的分离和更大的去中心化,无需自动模式下的试解密,最大限度地保护每个公司的解密者,黑客入侵的机会将显著降低。
原文始发于微信公众号(安全威胁纵横):LockBit 勒索软件卷土重来,在警方破坏后恢复了服务器
