俄罗斯背景的勒索软件组织LockBit上周六下午重新建立了一个暗网泄密网站,并发布了一篇显然是由其领导人LockBitSupp撰写的长文,他发誓不会退出地下犯罪世界。
LockBit领导人LockBitSupp在一封长信中表示, FBI似乎利用了Web脚本语言PHP中的一个漏洞(编号为CVE-2023-3824)来渗透勒索软件即服务操作的服务器。LockBit没有修补该漏洞,“因为在金钱中游泳的五年里我变得非常懒惰。”
LockBit表示,执法部门并未关闭未安装PHP的备份服务器。
“联邦调查局的所有行动都是为了破坏我的附属计划的声誉,让我士气低落,他们希望我离开并辞去工作,他们想吓唬我,因为他们无法找到并消灭我,我无法被阻止,你可以甚至不希望,只要我还活着,我就会继续进行后付费的渗透测试,”信中写道。
联邦调查局拒绝对最新事态发展发表评论。
英国、美国和欧洲执法部门上周一对勒索软件组织LockBit开展了克罗诺斯行动,接管了其暗网泄密网站,设置了为期一周的定时公告,宣传扣押解密密钥、源代码和加密货币钱包。
此次行动背后的执法机构在克罗诺斯行动的旗帜下行动,表示他们将在周五透露LockBit领导人LockBitSupp的身份,但他们没有这样做。当局在查获的泄密网站上写道:“我们知道他是谁。我们知道他住在哪里。我们知道他身价多少。LockBitSupp已与执法部门接触:)”。
RedSense首席研究官Yelisey Bohuslavskiy表示,该声明“以一种非常有趣的方式表达:‘LockBitSupp是俄罗斯自2021年起植入的安全设备’。”
无论LockBitSupp的幕后黑手是谁,“LockBit在此次查封事件中受到了严重损害,他所向无敌的气势也被永久破坏。自从被查封以来,他采取的每一个举动都是某人在装腔作势,而不是真正控制局势的人,”艾伦·利斯卡 (Allan Liska),Recorded Future 首席情报分析师说。
重建的暗网泄密网站包括显然是在克罗诺斯行动执行拆除之前制作的受害者条目,其中包括佐治亚州富尔顿县的受害者条目。LockBit此前声称对1月份的一次攻击负责,该攻击扰乱了县法院和税务系统。县地方检察官法尼·威利斯 (Fani Willis) 正在对前总统唐纳德·特朗普 (Donald Trump) 和18名共同被告提起诉讼,罪名是涉嫌试图阻止2020年总统权力交接。
LockBit消息还声称,FBI可能使用了PHP零日漏洞,仅捕获了LockBit服务器上20000个勒索软件解密器中的1000个,此次删除是为了防止该行动泄露从富尔顿县窃取的文件。
消息称:“联邦调查局获得了一个数据库、网络面板来源、并非他们声称来源的储物柜存根以及一小部分未受保护的解密器。” 它还声称,近200个附属机构名单上的名字“与他们在论坛上的真实昵称,甚至与即时通讯工具中的昵称无关”。
该勒索软件组织还表示,将通过分散管理面板的托管,未来的查封将变得更加困难。
众所周知,LockBitSupp 经常夸大其词,其反复无常的行为甚至在犯罪圈内也曾招致批评。
Analyst1首席安全策略师、勒索软件追踪者乔恩·迪马吉奥 (Jon DiMaggio) 表示:“这个家伙就是为了转移注意力。” “他喜欢说蠢话。”
DiMaggio说,LockBit声称FBI显然利用了PHP漏洞来控制其基础设施,这一说法看起来是可信的,但其他说法应该“持保留态度”。
DiMaggio表示,尽管 LockBit 试图卷土重来,但克罗诺斯行动仍然取得了成功。他表示,地下犯罪分子对LockBit可靠性的怀疑和恐惧,以及可能长期暴露在执法部门的风险,将阻碍其快速恢复正常,并补充说,其附属机构还有很多其他业务可供选择。
DiMaggio在谈到LockBitSupp时说道,联邦调查局“不仅将他打倒,还羞辱了他”。“这是一次影响深远的打击,将永久影响他的声誉,让他感到尴尬。”