早前國際聯合執法機構發起克洛諾斯行動,對臭名昭著的勒索軟件LockBit基礎設施進行打擊,其中該勒索軟件的部分暗網站點被執法機構扣押。然而現實中如此囂張的黑客已經不多見,LockBit網絡犯罪團夥背後的頭目LockBitSupp發佈幾次公開信息,似乎篤定自己非常安全、執法機構不會抓到自己。
目前 LockBit 的各項服務基本已經恢復,除被扣押幾個暗網站點域名外幾乎沒有影響,而這些域名可以隨時創建無數個。
![102425[1].png](https://cdn.115ip.com/attach/20240226/ee235b1a900e7b104d1c059ea4c9633a8405c0f2.png)
在最新的公開信中 LockBitSupp 解釋為什麼服務器會被 FBI 滲透:
2024 年 2 月 19 日 (執法機構) 對我的兩臺服務器進行滲透測試,到 06:39 UTC+0 我在網站上發現 502 Bad Gateway 錯誤,重啟 Nginx 後沒有任何變化、重啟 MySQL 還有也沒有任何變化、重啟 PHP 後網站恢復工作。
我沒太在意,我在金錢的世界裡沉迷五年,我變得很懶,繼續沉迷於美女和遊艇。到 20:47 我發現網站出現新的錯誤:404 Not Found,我嘗試通過 SSH 連接服務器但密碼錯誤,後來我發現磁盤上的所有信息都被刪除。
由於我個人的疏忽和不負責任,我懈怠,沒能及時更新 PHP,服務器安裝 PHP 8.1.2 版,執法機構可能是通過 CVE-2023-3824 漏洞進行滲透測試的。
我意識到可能不是這個 CVE,而是其他類似的 PHP 零日漏洞,我不能百分百確定,因為我的服務器上安裝的版本已經有一個一直漏洞,這可能是受害者的管理和聊天面板服務器以及博客服務器被入侵的原因。
如果有人知道這個版本的 CVE,請第一個告訴我,您將獲得獎勵。
簡單來說就是該頭目自稱自己在過去幾年過於懈怠導致沒有及時升級 PHP 版本進而被 FBI 入侵,不過實際上 LockBitSupp 還透露一些其他關鍵信息。
該頭目認為 FBI 其實早就已經滲透 LockBit 的站點,但按照慣例 FBI 滲透成功後不會立即公佈,而是埋伏起來收集證據以及探查黑客的一些信息,但此次 FBI 沒有抓到任何人。
那麼為什麼 FBI 在沒有抓到人的情況下就動手呢?LockBitSupp 認為關鍵原因是美國富爾頓縣法院泄露數據的公佈,這些數據裡包含有關美國前總統唐納德特朗普法庭案件的文件,這是促使 FBI 提前動手的原因。