在遭受英美等國執法部門的致命打擊后，“勒索軟件之王“LockBit在不到一周的時間內死灰復燃，重新啟動了勒索軟件業務，公布了新的數據泄露站點，并威脅將把更多西方政府部門放入攻擊名單。

LockBit創始人在“復活聲明“中揭露FBI倉促發動的這次執法行動是“狗急跳墻”，因為LockBit的加盟組織在一次攻擊中掌握了美國前總統特朗普的敏感信息。

LockBit死灰復燃

上周六，LockBit創始人宣布恢復勒索軟件業務，并發布了“復活聲明”公告，承認由于“個人疏忽和不負責任”導致執法部門的“Cronos行動”中嚴重擾亂了其活動。

LockBit創始人在聲明中復盤了遭受攻擊的原因，聲稱由于“偷懶“沒有及時更新存在漏洞的系統，另外不排除執法部門還利用了零日漏洞。LockBit創始人還推測其他RaaS勒索軟件組織（LockBit的競爭對手）可能也已遭到執法部門入侵。

LockBit創始人在聲明中宣布將保留LockBit品牌名稱，并將數據泄露網站轉移到一個新的.onion地址，該地址列出了五個受害者的信息，并附上了數據泄露倒計時計時器。

重新啟動的LockBit數據泄露網站顯示了五個受害者

一個致命的PHP漏洞

2月19日，多國聯合執法機構突襲了LockBit的基礎設施，繳獲了34臺服務器，這些服務器用于托管數據泄露網站及其鏡像、從受害者竊取的數據、加密貨幣地址、解密密鑰和附屬機構面板。

在被“清剿“之后，LockBit立即確認了攻擊，并表示他們只損失了運行PHP的服務器，而沒有運行PHP的備份系統則完好無損。

LockBit創始人在聲明中表示，執法部門（聲明將其統稱為FBI）入侵了兩臺主服務器，“因為金迷紙醉長達5年，我變得非常懶惰。”

“由于我個人的疏忽和不負責任，沒有及時更新PHP。”LockBit創始人說道：“遭到入侵和接管的聊天面板服務器以及博客服務器運行的是PHP8.1.2，并可能被執法機構利用CVE-2023-3824漏洞進行攻擊。”LockBit表示已經更新了PHP服務器，并宣布將獎勵任何找到最新版本漏洞的人。

FBI倉促出擊與特朗普數據泄露有關

LockBit創始人還推測“FBI”倉促入侵其基礎設施的原因與特朗普和美國大選有關：

1月份LockBit聯盟組織針對富爾頓縣的勒索軟件攻擊有可能泄露了美國前總統唐納德·特朗普的敏感信息，這些信息可能會影響即將到來的美國大選。

LockBit創始人認為，潛伏在其系統中的FBI在尚未掌握逮捕創始人和主要合伙人重要線索時提前發動攻擊，是為了“封鎖消息”，阻止特朗普的文件被泄露。

在聲明中，LockBit直接向FBI宣戰，聲稱將通過“更頻繁地攻擊政府部門”，迫使“FBI”展示其是否有能力（繼續）攻擊LockBit。

FBI夸大戰果？

在“Cronos行動”期間，執法機構宣稱獲取了超過1000個解密密鑰。但LockBit聲稱FBI僅從“未保護的解密器”中獲取了密鑰，僅占LockBit整個運營期間生成的大約4萬個解密器的2.5%。

LockBit聲稱這些“未保護的解密器”沒有啟用“最大解密保護”功能，通常由只索取2000美元贖金的低級聯盟組織使用。

LockBit宣稱將取消自動試用解密，所有試用解密和解密器的發放僅在手動模式下進行。“在下一次可能發生的攻擊中，FBI將無法免費獲得任何一個解密器。”聲明說道。

Lockbit還計劃升級其基礎設施的安全性，將附屬機構面板托管在多個服務器上，根據信任級別為其合作伙伴提供不同副本的訪問權限。

“由于面板更加去中心化，自動模式下沒有試用解密，每個公司的解密器得到最大保護，被黑的可能性將大大降低”-LockBit

LockBit的長篇聲明看起來像是試圖修復受損的“聲譽”，該團伙遭受了沉重打擊，即使設法恢復服務器，短時間內也很難取得附屬機構的信任。