LockBit 3.0 卷土重来，10亿美元只是个开始？

愿做一名渗透小学徒 · 公众号 · · 2024-03-01 09:30

正文

LockBit 勒索软件利用新的加密器、服务器再次发起攻击

在上周执法中断后，LockBit 勒索软件团伙再次发起攻击，使用更新后的加密器和链接到新服务器的勒索票据。

上周，NCA、FBI 和欧洲刑警组织针对 LockBit 勒索软件行动发起了名为“ 克罗诺斯行动 ”的协调行动。

作为此次行动的一部分，执法部门查获了基础设施，取回了解密器，并在 LockBit 的尴尬时刻将勒索软件团伙的数据泄露网站转变为警方新闻门户。

“我并没有太在意它，因为在金钱中游泳的 5 年里我变得非常懒惰，”LockBitSupp 说。“20点47分，我发现网站出现了新的错误404 Not Found nginx，尝试通过SSH进入服务器，但无法进入，密码不正确，因为后来发现磁盘上的所有信息都被删除了。”

该说明进一步解释说，被黑客攻击的服务器运行 PHP 版本 8.1.2，该版本受到远程代码执行 (RCE) 漏洞 CVE-2023-3824 的影响，该漏洞可能允许当局访问 LockBit 的系统。

LockBitSupp 补充道：“我的服务器上安装的版本已知存在已知漏洞，因此这很可能是受害者的管理和聊天面板服务器以及博客服务器的访问方式。”他指出，新的 LockBit 服务器现在正在运行PHP 最新版本 8.3.3。

不久之后，LockBit 建立了一个新的数据泄露网站，并向 FBI 留下了一份长长的纸条，声称执法部门使用 PHP 漏洞破坏了他们的服务器。

然而，他们并没有重新命名，而是承诺带着更新的基础设施和新的安全机制回归，以防止执法部门执行整个操作范围的攻击并获得解密器的访问权限。

更新了攻击中使用的 LockBit 加密器

截至昨天，LockBit 似乎再次发起攻击，使用新的加密器和用于数据泄露和协商站点的基础设施设置。

正如Zscaler 首次报道的那样，勒索软件团伙使用该团伙新基础设施的 Tor URL 更新了加密器的勒索记录。 BleepingComputer 后来发现昨天[样本 ]（由 MalwareHunterTeam 共享）和今天[ 样本 ]上传到 VirusTotal 的加密器样本，其中包含更新的勒索信息。