A LockBit csoport, kevesebb mint egy héttel azután, hogy a bűnüldöző szervek feltörték a szervereit, új infrastruktúrán indítja újra műveleteit, és azzal fenyegetőzik, hogy még több támadást intéznek a kormányzati szektor ellen.
A banda egy hosszú üzenetet tett közzé a betörést lehetővé tevő gondatlanságukról és a művelet további részleteiről. Közleményükben arra hivatkoznak, hogy “személyes hanyagság és felelőtlenség” vezetett ahhoz, hogy a bűnüldöző szervek megzavarták a tevékenységüket. Bejelentették, hogy folytatják a műveleteiket.
“Személyes hanyagságom és felelőtlenségem miatt megpihentem, és nem frissítettem időben a PHP-t”. A csoport szerint az “victim’s” admin és chatpanel szervere, valamint a blog szerver 8.1.2-es PHP-t futtatott, és valószínűleg a CVE-2023-3824 néven nyomon követett kritikus sebezhetőséget kihasználva törték fel őket. Frissítették a PHP szervereket, és bejelentették, hogy megjutalmazzák azt, aki megtalálja a biztonsági rést a legújabb verzióban. A banda megtartotta a nevet, és egy új .onion címre költöztette az adatszivárgási oldalát, amely már fel is sorol öt áldozatot, visszaszámláló időzítővel ellátva.
A kiberbűnözők az infrastruktúrájuk feltörésének okáról spekulálva azt mondják, hogy a Fulton megyét ért zsarolóvírus támadás miatt történt. A LockBit úgy gondolja, hogy a .gov szektor gyakrabbi támadásával arra kényszerítik “az FBI-t”, hogy megmutassák, tudják-e tartani velük a lépést.
Február 19-én a hatóságok felszámolták a 34 szerverből álló LockBit infrastruktúrát, amelyek az adatszivárogtató webhelyet, az áldozatoktól ellopott adatokat, kriptotárca címeket, dekódoló kulcsokat és a partnerpanelt szolgáltatták. Közvetlenül a lekapcsolás után a banda megerősítette a betörést, mondván, hogy csak a PHP-t futtató szervereket veszítették el, és a PHP nélküli biztonsági rendszerek érintetlenek maradtak.
A hatóságok a Cronos művelet során több mint 1000 dekódoló kulcsot gyűjtöttek be. A LockBit azt állítja, hogy a rendőrség a kulcsokat “védtelen dekódolókból” szerezte meg, de a szerveren közel 20000 dekódoló volt, ami körülbelül a fele a művelet teljes időtartama alatt keletkezett körülbelül 40000-nek. A “nem védett dekódolók” alatt a fájlkódoló kártevő olyan verzióit értik, amelyeknél nem volt engedélyezve a “maximális dekódolásvédelem” funkció. Ezeket jellemzően alacsony szintű társszervezetek használják, amelyek kisebb, mindössze 2000 dolláros váltságdíjakat követelnek.
A LockBit azt tervezi, hogy fejleszti infrastruktúrájának biztonságát, és áttér a dekódolók és a próbafájlok dekódolásának kézi kiadására, valamint a partnerpanelt több szerveren fogja elhelyezni, és partnereinek a bizalmi szint alapján különböző példányokhoz biztosít hozzáférést.
