LockBit 勒索软件团伙通过新的泄漏网站重新浮出水面

站，声称他们在执法部门取缔后恢复了基础设施，并邀请附属公司重新加入该行动。

2 月 19 日，LockBit 受到北美、欧洲和亚洲执法部门的严重干扰，执法部门查获了 34 台服务器，接管了该组织基于 Tor 的泄密站点，冻结了加密货币账户，并收集了有关 RaaS 的技术信息。

当局还宣布，他们获得了 1,000 个解密密钥，这将帮助受害者组织在不支付赎金的情况下恢复数据，并逮捕了两名涉嫌参与该行动的人员。

不久之后，美国政府宣布悬赏 1000 万美元，奖励LockBit 领导人的信息，悬赏 500 万美元，奖励其附属机构的信息，并对两名据信与 LockBit 有关的俄罗斯公民提出指控和制裁。

当局表示，他们获得了“前所未有的全面访问 LockBit 系统的权限”，并且为了嘲讽运营商，他们用包含该组织活动报告、逮捕信息、奖励和制裁细节，甚至建议他们知道 LockBit 的领导者是谁，并且他“已经与执法部门合作”。

上周末，一名参与 RaaS 的人（使用“LockBitSupp”的绰号）推出了一个新的泄露网站，其中列出了数百个受害者组织，其中包含一条长消息，提供了他对此次删除的看法。 

据 LockBitSupp 称，PHP 缺陷导致易受攻击的网站被查封，但未运行脚本语言的网站却未被查封。事实上，该组织的一些已知镜像站点现已链接到新门户。

他还表示，执法部门获得了 20,000 个解密工具，其中包括 1,000 个未受保护的储物柜版本（LockBit 五年运行期间发布了 40,000 个），此次下架是对 1 月份乔治亚州富尔顿县黑客攻击事件的回应。

LockBit 运营商还表示，这次删除促使他改进保护措施，包括进一步分散操作以及手动释放每个解密器。

这条长信息似乎是为了恢复可信度，这是 RaaS 迫切需要的，不仅是因为执法部门的取缔造成了重大影响，而且还因为 LockBit 的“品牌”已经经历了数月的下滑。

据趋势科技称，尽管 LockBit 在过去一年中约占勒索软件攻击的 25%，但它在吸引和留住附属机构方面遇到了困难，并且其泄漏网站也出现了技术困难，并推迟了新勒索软件变种的发布。

“最近公开呼吁 ALPHV (BlackCat) 和 NoEscape 附属公司加入 LockBit 集团，其中充满了绝望的气氛。过去，威胁行为者都吵着要加入该组织。然而，最近，LockBit 运营商似乎迫切需要新的附属公司，并积极寻找机会利用竞争对手的不幸。”趋势科技表示。

然而，据 Prodaft 称，LockBit 拥有大约 190 个附属机构，其中一些与其他臭名昭著的网络犯罪组织有联系，包括 EvilCorp、FIN7 和 Wizard Spider。

该网络安全公司还指出，在心怀不满的附属机构抱怨没有得到报酬后，LockBitSupp 在几个地下黑客论坛上失去了信誉，并且他被禁止进入至少两个此类门户网站。

然而，RaaS 领导者似乎正在准备新版本的恶意软件。它被称为 LockBit-NG-Dev，仍在开发中，它是用 .NET 编写的，与平台无关，不会自我传播，与之前的迭代相比，功能较少，但功能强大，足以发展为 LockBit 4.0。

趋势科技表示：“由于将 LockBit 的强大版本推向市场的能力似乎出现了延迟，再加上持续存在的技术问题，该组织将保持吸引顶级附属公司并保持其地位的能力多久，还有待观察。”笔记。

威胁情报公司RedSense 表示，RaaS 背后的真正主谋是一个名为 Zeon 的“幽灵组织”，该组织由前 Conti 运营商组成，还投资了 Akira、3AM 和 BlackCat 勒索软件业务。

据 RedSense 称，LockBit 泄露网站和周边社交基础设施的关闭对 Zeon 来说是一个重大打击，Zeon 可能会重点关注 Akira，因为 LockBit 永远不会恢复。

“重建基础设施的可能性很小；LockBit的领导层在技术上非常无能。他们将基础设施开发委托给的人早已离开了 LockBit，从他们的基础设施的原始主义就可以看出，”RedSense 说。

原文始发于微信公众号（河南等级保护测评）：LockBit 勒索软件团伙通过新的泄漏网站重新浮出水面