LockBit 团伙卷土重来，宣布将恢复勒索软件业务

在相关部门截获其服务器不到一周，LockBit 团伙便在新的基础设施上重新启动了勒索软件，并威胁说会将更多的攻击集中在政府部门。

在联邦调查局泄密模型下的一条消息中，该团伙专门发布了一条冗长的消息，讲述了他们的疏忽导致了此次泄露，以及未来的行动计划。

LockBit 勒索软件持续攻击

上周六，LockBit 宣布将恢复勒索软件业务，并发布公告，承认因 " 个人疏忽和不负责任 " 导致扰乱了其在克罗诺斯行动中的活动。目前，该团伙将其数据泄露网站转移到了新的 .onion 地址，该地址列出了五名受害者，并附有发布被盗信息的倒计时器。

上周，有关部门拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及 34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。攻击发生后，该团伙称他们只丢失了运行 PHP 的服务器，没有 PHP 的备份系统未受影响。

五天后，LockBit 卷土重来并提供了有关漏洞的详细信息，以及他们将如何运营业务以使他们的基础设施更难以被攻击。

在克罗诺斯行动期间，相关部门收集了 1000 多个解密密钥。LockBit 声称警方从 " 未受保护的解密器 " 获得了密钥，服务器上有近 20000 个解密器，大约是整个操作过程中生成的约 40000 个解密器的一半。威胁分子将 " 不受保护的解密器 " 定义为未启用 " 最大解密保护 " 功能的文件加密恶意软件的构建，通常由低级别附属机构使用，这些附属机构仅收取 2000 美元的赎金。

LockBit 计划升级其基础设施的安全性，并切换为手动发布解密器和试用文件解密，以及在多个服务器上托管附属面板，并根据信任级别为其合作伙伴提供对不同副本的访问权限。LockBit 发出的长信息试图为受损的声誉恢复可信度，但即使它设法恢复了服务器，附属机构也有充分的理由不信任。

（来源：嘶吼RoarTalk）