LockBit在被執法機關攻陷的一周內起死回生

由美國、英國等10個國家組成，並由歐洲刑警組織（Europol）負責居中協調的克羅諾斯行動（Operation Cronos），在2月20日宣布已成功摧毀勒索軟體LockBit的基礎設施，然而，LockBit開發者在24日指出，它們已經恢復了服務，《BleepingComputer》則在LockBit新的資料外洩網站上發現了5名受害者。

克羅諾斯行動接管了LockBit的資料外洩網站，關閉其位於全球不同國家的34臺伺服器，凍結逾200個與該犯罪組織有關的加密貨幣帳戶，控制或刪除了1.4萬個負責滲透或與基礎設施有關的流氓帳號，也逮捕了2名嫌犯。估計LockBit的受害者超過2,000家，得手的贖金超過1.2億美元。

當時安全研究團隊vx-underground引用了LockBit開發者的說法，指出這些執法機構是透過PHP上的CVE-2023-3824安全漏洞攻陷他們的基礎設施。

LockBit開發者則從自己的角度說明了此事。指出有兩臺伺服器在2月19日遭到滲透測試，使得他無法登入，他承認或許是因為自己太鬆懈，沒能及時修補PHP上的CVE-2023-3824漏洞才讓執法機構有機可趁，也有可能是其它的PHP零時差漏洞。該開發者還提醒其它的勒索軟體競爭對手，它們的PHP伺服器很可能也已經被攻陷了，最好儘快修補並更新所有憑證。

另外他也強調，所有其它未使用PHP的伺服器都未受到影響，將會持續用來外洩受害企業的資料。

該名LockBit開發者宣稱FBI等執法機構誇大了克羅諾斯行動的成功程度，例如所取得的逾1,000個解密金鑰只占了解密金鑰總數的2.5%，而且它們屬於低階的解密金鑰。在LockBit運作5年來，其解密金鑰總數約有4萬個。還說執法機構所逮捕的嫌犯並非他真正的合作夥伴，或許只是混幣器或交易平臺的員工。

他甚至列出了數十個未安裝PHP、沒有被執法機構攻陷的備份部落格網域，並公布了新的主網域；他表示之所以花了4天才恢復，主要是因為他必須重新編輯最新版PHP的程式碼；他也否認未刪除已支付贖金之受害者的機密資訊，認為執法機構故意說謊。

儘管LockBit的確正在重建其基礎設施，但vx-underground認為，LockBit此一回應試圖抹黑執法機構，以降低其公信力。