由美国、英国等10个国家组成,并由欧洲刑警组织(Europol)负责居中协调的克罗诺斯行动(Operation Cronos),在2月20日宣布已成功摧毁勒索软体LockBit的基础设施,然而,LockBit开发者在24日指出,它们已经恢复了服务,《BleepingComputer》则在LockBit新的资料外泄网站上发现了5名受害者。
克罗诺斯行动接管了LockBit的资料外泄网站,关闭其位于全球不同国家的34台伺服器,冻结逾200个与该犯罪组织有关的加密货币帐户,控制或删除了1.4万个负责渗透或与基础设施有关的流氓帐号,也逮捕了2名嫌犯。估计LockBit的受害者超过2,000家,得手的赎金超过1.2亿美元。
当时安全研究团队vx-underground引用了LockBit开发者的说法,指出这些执法机构是透过PHP上的CVE-2023-3824安全漏洞攻陷他们的基础设施。
LockBit开发者则从自己的角度说明了此事。指出有两台伺服器在2月19日遭到渗透测试,使得他无法登入,他承认或许是因为自己太松懈,没能及时修补PHP上的CVE-2023-3824漏洞才让执法机构有机可趁,也有可能是其它的PHP零时差漏洞。该开发者还提醒其它的勒索软体竞争对手,它们的PHP伺服器很可能也已经被攻陷了,最好尽快修补并更新所有凭证。
另外他也强调,所有其它未使用PHP的伺服器都未受到影响,将会持续用来外泄受害企业的资料。
该名LockBit开发者宣称FBI等执法机构夸大了克罗诺斯行动的成功程度,例如所取得的逾1,000个解密金钥只占了解密金钥总数的2.5%,而且它们属于低阶的解密金钥。在LockBit运作5年来,其解密金钥总数约有4万个。还说执法机构所逮捕的嫌犯并非他真正的合作伙伴,或许只是混币器或交易平台的员工。
他甚至列出了数十个未安装PHP、没有被执法机构攻陷的备份部落格网域,并公布了新的主网域;他表示之所以花了4天才恢复,主要是因为他必须重新编辑最新版PHP的程式码;他也否认未删除已支付赎金之受害者的机密资讯,认为执法机构故意说谎。
尽管LockBit的确正在重建其基础设施,但vx-underground认为,LockBit此一回应试图抹黑执法机构,以降低其公信力。