背景圖片取自Cassi Josh on Unsplash

由美國、英國等10個國家組成,並由歐洲刑警組織(Europol)負責居中協調的克羅諾斯行動(Operation Cronos),在2月20日宣布已成功摧毀勒索軟體LockBit的基礎設施,然而,LockBit開發者在24日指出,它們已經恢復了服務,《BleepingComputer》則在LockBit新的資料外洩網站上發現了5名受害者。

克羅諾斯行動接管了LockBit的資料外洩網站,關閉其位於全球不同國家的34臺伺服器,凍結逾200個與該犯罪組織有關的加密貨幣帳戶,控制或刪除了1.4萬個負責滲透或與基礎設施有關的流氓帳號,也逮捕了2名嫌犯。估計LockBit的受害者超過2,000家,得手的贖金超過1.2億美元。

當時安全研究團隊vx-underground引用了LockBit開發者的說法,指出這些執法機構是透過PHP上的CVE-2023-3824安全漏洞攻陷他們的基礎設施。

LockBit開發者則從自己的角度說明了此事。指出有兩臺伺服器在2月19日遭到滲透測試,使得他無法登入,他承認或許是因為自己太鬆懈,沒能及時修補PHP上的CVE-2023-3824漏洞才讓執法機構有機可趁,也有可能是其它的PHP零時差漏洞。該開發者還提醒其它的勒索軟體競爭對手,它們的PHP伺服器很可能也已經被攻陷了,最好儘快修補並更新所有憑證。

另外他也強調,所有其它未使用PHP的伺服器都未受到影響,將會持續用來外洩受害企業的資料。

該名LockBit開發者宣稱FBI等執法機構誇大了克羅諾斯行動的成功程度,例如所取得的逾1,000個解密金鑰只占了解密金鑰總數的2.5%,而且它們屬於低階的解密金鑰。在LockBit運作5年來,其解密金鑰總數約有4萬個。還說執法機構所逮捕的嫌犯並非他真正的合作夥伴,或許只是混幣器或交易平臺的員工。

他甚至列出了數十個未安裝PHP、沒有被執法機構攻陷的備份部落格網域,並公布了新的主網域;他表示之所以花了4天才恢復,主要是因為他必須重新編輯最新版PHP的程式碼;他也否認未刪除已支付贖金之受害者的機密資訊,認為執法機構故意說謊。

儘管LockBit的確正在重建其基礎設施,但vx-underground認為,LockBit此一回應試圖抹黑執法機構,以降低其公信力。

熱門新聞

Advertisement