臭名昭著的勒索组织LockBit对美国FBI 的公开信

在2024年2月19日，两台服务器进行了渗透测试。在06:39 UTC，我发现网站出现502 Bad Gateway错误，重启nginx没有效果，重启mysql也没有效果，重启PHP后网站才恢复正常。我当时没有太在意，因为在过去的五年里，我沉浸在金钱中变得非常懒惰，继续和漂亮女孩们乘游艇。到20:47时，我发现网站出现了新的错误404 Not Found nginx，试图通过SSH进入服务器但无法进入，密码不正确，后来发现所有磁盘上的信息都被删除了。

由于我的个人疏忽和不负责任，我放松了警惕，没有及时更新PHP，服务器上安装的是PHP 8.1.2版，很可能是通过这个CVE https://www.cvedetails.com/cve/CVE-2023-3824/ 被成功渗透测试的，从而获得了两个主要服务器的访问权限，这些服务器上安装了该版本的PHP。我意识到可能不是这个CVE，而是PHP的其他0day漏洞，但我不能百分之百确定，因为我的服务器上安装的版本已知存在漏洞，所以这很可能是攻击者访问受害者的管理和聊天面板服务器以及博客服务器的方式。现在新服务器运行的是最新版本的PHP 8.3.3。如果有人识别出这个版本的CVE，请立即告诉我，你将获得奖励。

这个问题不仅仅影响我。任何使用过有漏洞版本的PHP的人都应该注意，你的服务器可能已经被入侵，我相信许多竞争对手可能也以同样的方式被黑，但他们甚至没有意识到是怎么回事。我相信我所知道的论坛也以同样的方式通过PHP被黑，有充分的理由相信，不仅是因为我的黑客攻击，还因为举报者提供的信息。我偶然发现了PHP的问题，而且我是唯一一个拥有不同服务器的去中心化基础设施的人，所以我能够迅速找出攻击的方式，如果没有没有安装PHP的备用服务器，我可能就无法发现黑客攻击的原因。

FBI现在决定进行攻击只有一个原因，因为他们不想泄露来自https://fultoncountyga.gov/ 的信息，被盗的文件包含很多有趣的内容以及可能影响即将到来的美国大选的唐纳德·特朗普的法庭案件。我个人会投票给特朗普，因为与墨西哥的边境情况简直是一场噩梦，拜登应该退休，他只是一个傀儡。如果不是FBI的攻击，这些文件当天就会发布，因为谈判停滞不前，就在合作伙伴发布新闻稿到博客后，FBI非常不喜欢公众知道这个城市所有系统失败的真正原因。如果不是因为选举情况，FBI会继续坐在我的服务器上等待任何线索来逮捕我和我的同伙，但要避免被抓住，你所需要做的就是高质量的加密货币洗钱。FBI可以坐在你的资源上并收集对他们有用的信息，但不要向全世界展示你被黑，因为你没有造成任何关键的损害，你只带来好处。这种情况可以得出什么结论？很简单，我需要更频繁地攻击.gov领域，正是这种攻击，FBI将被迫向我展示他们的弱点和漏洞，使我变得更强大。通过攻击.gov领域，你可以确切地知道FBI是否有能力攻击我们。

即使在阅读完这些信息后你更新了你的PHP版本，这还不够，因为你必须更换主机、服务器、所有可能的密码、数据库中的用户密码，审计源代码并进行迁移，没有任何保证你没有在服务器上被加强。没有任何保证FBI没有0day漏洞，关于你的服务器他们已经学到了足够的信息，可以重新攻击，所以只有完全更换所有可以更换的东西才会有帮助。

所有没有安装PHP的备用博客服务器都不受影响，将继续提供从被攻击公司窃取的数据。

作为黑客攻击服务器的结果，FBI获得了数据库、Web面板源代码、locker存根（他们声称不是源代码）和一小部分未受保护的解密器，他们声称有1000个解密器，虽然服务器上有近20000个解密器，其中大部分是受保护的，FBI无法使用。感谢数据库，他们发现了合作伙伴的生成昵称，这与他们在论坛上的真实昵称甚至在通讯软件中的昵称无关，没有删除的与被攻击公司的聊天记录和相应的钱包，将被调查和搜索所有那些没有洗钱的人，可能会逮捕涉及洗钱的人，并指控他们是我的合作伙伴，尽管他们不是。所有这些信息没有价值，因为这些信息都是传递给FBI的，没有黑客攻击面板，每次交易后由保险代理人或谈判者处理。

唯一有价值和潜在威胁的是面板的源代码，因为它可能导致未来的黑客攻击，如果让所有人进入面板，但现在面板将被分成多个服务器，供验证的合作伙伴和随机人使用，每个合作伙伴一个单独的服务器，以前是一个面板供所有人使用。由于面板的分离和更大的去中心化，自动模式下不再有试验解密，每个公司的解密器最大程度的保护，黑客攻击的可能性将大大降低。竞争对手的面板源代码泄露也曾发生过，这并没有阻止他们继续工作，也不会阻止我。

FBI说他们获得了大约1000个解密器，这是一个不错的数字，但看起来不像是真的，是的，他们获得了一些未受保护的解密器，那些在过去30天内没有勾选“最大解密器保护”复选框的locker构建，具体FBI在什么日子获得了服务器访问权限尚不清楚，但我们确切知道CVE披露的日期和PHP生成错误的日期，在2月19日之前，被攻击的公司定期支付未受保护的解密器，所以有可能FBI仅在服务器上呆了一天。如果FBI发布所有解密器到公众，那么你可以信任他们真的拥有解密器，而不是虚张声势和吹嘘他们的优越性，而不是一个聪明的渗透测试员使用的公共CVE。注意，大多数未受保护的解密器来自合作伙伴，他们加密暴力破解dedicas并向单个计算机发送垃圾邮件，要求2000美元的赎金，也就是说，即使FBI有1000个解密器，他们也没什么用，主要的是他们没有获得整个五年运营期间的所有解密器，数量大约是40000个。结果是FBI只获得了2.5%的解密器数量，是的，这很糟糕，但并不是致命的。

从这个重要时刻开始，FBI让我振作起来，我将不再懒惰，每一个构建的locker都将具有最大保护，现在不会有自动试验解密，所有试验解密和解密器的发布将仅以手动方式进行。因此，在可能的下一次攻击中，FBI将无法免费获得任何解密器。

也许大家已经注意到，FBI如何漂亮地更改了博客的设计，从来没有人被给予这样的荣誉，通常每个人只是放了一个普通的插图，赞美所有世界上的特勤部门。事实上，只有一个人值得赞美，那就是渗透测试我的网站并挑选合适的公共CVE的人，我想知道他得到了多少报酬，奖金是多少？如果少于一百万美元，那么来为我工作吧，你可能会赚更多的钱。或者只是在tox 与我交谈，记住我总是有一个活跃的漏洞赏金计划，我为发现的漏洞支付报酬。FBI不欣赏你的才华，但我会，而且愿意慷慨支付。

我想知道为什么alpha、revil、hive的博客没有被设计得这么漂亮？为什么他们的身份没有被公布？尽管FBI知道他们的身份？这很奇怪，不是吗？因为用这种愚蠢的方法，FBI试图吓唬我，让我停止工作。FBI的设计师应该为我工作，你有很好的品味，我尤其喜欢新的加载器，在新的更新中我应该做类似的事情，美国、英国和欧洲围绕我的标志旋转，绝妙的主意，直接让我感觉很好，谢谢。

我有几个合作伙伴被捕，老实说，我对此表示怀疑，他们可能只是洗钱的人，可能他们为一些搅拌机和交换机工作，这就是为什么他们被捕并被认为是我的合作伙伴，看看逮捕的视频会很有趣，他们的家中，兰博基尼和显示他们参与我们活动的证据的笔记本电脑，但我想我们不会看到，因为FBI逮捕了随机的人，以获得管理层的表彰，表明看，我们有逮捕，我们不是白拿钱，我们诚实

地工作，抓捕随机的人，而真正的渗透测试员继续悄悄地工作。Basssterlord没有被抓住，我知道Basssterlord的真名，它与FBI抓到的可怜家伙不同。

我不认识来自塞瓦斯托波尔的军事记者Cassad上校，我从未捐赠给任何人，FBI展示交易会很好，这样我可以在区块链上检查他们的结论从哪里得出，为什么他们声称是我做的，我从不进行没有比特币混音器的任何交易。

如果我可能使用了Evil Corp中的某人使用过的同一个加密货币交换服务，这绝对不意味着我与Evil Corp有任何关系，再次在哪里看到交易？我怎么知道谁在使用哪个交换机？我使用不同的交换机，我不把所有的钱集中在一个加密货币交换机上。让我们指责成百上千的其他使用公共交换机的人Evil Corp。

我真的不喜欢所有这些扔出来的东西没有公布交易和钱包，因此无法验证什么是真实的。你可以毫无证明地指控我任何事情，我无法反驳，因为没有交易和比特币钱包。

FBI声称我的收入超过1亿美元，这是真的，我非常高兴删除了非常大的支付聊天记录，现在我将更频繁地删除小额支付记录。这些数字表明，我在正确的轨道上，即使我犯错误，这也不能阻止我，我纠正错误，继续赚钱。这表明没有任何FBI的黑客攻击可以阻止业务的繁荣，因为那些不能杀死我的事情使我更强大。

所有FBI的行动都是为了摧毁我的联盟计划的声誉，使我灰心，他们想让我离开并放弃工作，他们想吓唬我，因为他们无法找到并消灭我，我不能被阻止，你甚至不能希望，只要我还活着，我将继续进行后付费渗透测试。

我很高兴FBI振作了我，给了我动力，让我从娱乐和花钱中走出来，坐在电脑前手握数亿美元非常困难，唯一能激励我工作的就是强大的竞争对手和FBI，有一种运动兴趣和竞争的愿望。与竞争对手比谁赚更多的钱和攻击更多的公司，与FBI比他们能否抓住我，我确信他们不能，看他们的工作方式。

FBI承诺发布我的身份但他们没有兑现承诺，这些人敢于撒谎，说我没有在支付赎金后删除被盗的公司信息，真是滑稽。结果，FBI正式承认自己是骗子，他们经常撒谎，正如我熟悉的律师Arkady Buch、Dmitry Naskavets和Victor Smilyanets所说的，现在我100%相信他们了。他们愚蠢地试图通过声称我为FBI工作来诋毁我，一个每天加密美国公司的男人，赚取数亿美元的男人，是在FBI的批准下进行的吗？这就是运作方式？非常聪明。

你可能会想，为什么我会为数亿美元工作？我会回答说，我只是感到无聊，我爱我的工作，它给我带来生活的快乐，金钱和奢侈品并没有带来像我的工作那样的快乐，这就是为什么我愿意为了我的工作冒生命危险，我认为生活应该是这样光明、丰富和危险的。

当我写到FBI时，我不仅指FBI，还包括所有他们的助手，他们知道如何逮捕合作伙伴的服务器，这些服务器作为从被攻击公司窃取数据后的第一层缓冲，毫无价值：英国的西南地区有组织犯罪单位、伦敦警察厅、欧洲刑警组织、法国的国家宪兵队-C3N、德国的国家刑事警察局和联邦刑事警察局、瑞士的联邦警察局和苏黎世州警察、日本的国家警察署、澳大利亚的联邦警察、瑞典的警察局、芬兰的国家调查局、加拿大的皇家骑警、荷兰的国家警察。所以请不要介意，我没有忘记你们，你们在这次行动中也非常有帮助。但让我提醒你，我个人认为唯一值得奖赏和荣誉提及的是找到适合我服务器的公共PHP CVE的人，我认为是来自Prodaft的某个人。

原文始发于微信公众号（OSINT情报分析师）：臭名昭著的勒索组织LockBit对美国FBI 的公开信