Не прошло и недели с момента захвата сайта Lockbit и нарушения его работы в результате совместной международной операции, но самая продуктивная группа программ-вымогателей в мире уже вернулась. Представители группировки заявили, что восстановили свои серверы и продолжили работу.
На прошлой неделе на веб-сайте Lockbit появился баннер, информирующий посетителей о том, что сайт находится под контролем правоохранительных органов. В операции участвовали национальное агентство по борьбе с преступностью (NCA) Великобритании, ФБР и международная оперативная группа под названием Operation Cronos. Коалиция заявила, что работа Lockbit была прервана, и якобы были арестованы члены группировки в разных странах.
В своем заявлении Lockbit утверждает, что его серверы программы-вымогателя были взломаны ФБР с использованием уязвимости php. Однако его резервные серверы не пострадали.
"Все другие серверы с резервными копиями блогов, на которых не был установлен php, не затронуты и будут продолжать выдавать данные, украденные у атакованных компаний", - говорится в заявлении Lockbit. Lockbit также заявил о возобновлении своей деятельности программ-вымогателей и признал свою личную халатность и безответственность, которые привели к нарушению его деятельности правоохранительными органами.
"За 5 лет купания в деньгах я стал очень ленивым", - написал участник группы. "Моя личная халатность и безответственность привели к тому, что я расслабился и не обновил php вовремя".
Группа заявляет, что администратор, сервер панелей чата и сервер блогов работали на php 8.1.2 и, вероятно, были взломаны с использованием критической уязвимости cve-2023-3824.
Согласно сообщению, ФБР взломало инфраструктуру Lockbit в связи с атакой программ-вымогателей на округ Фултон, которая выявила "много интересных вещей и судебные дела Дональда Трампа, которые могут повлиять на предстоящие выборы в США". Представители группировки заявили, что намерены чаще атаковать государственный сектор, чтобы проверить, способны ли правоохранительные органы справиться с этим.