仅仅在11国联合执法行动宣布成功查封LockBit基础设施服务器不到一周后，2月24日，LockBit 宣布将恢复勒索软件业务，并威胁会将更多的攻击集中在政府部门。

在一个新上线的数据泄露网站上，LockBit仍然使用其3.0 版本的名称，并列出了5名受害者及其缴纳赎金的倒计时器。LockBit表示，他们已经将数据泄露网站迁移到一个后缀为.onion的新地址。

新的 LockBit 数据泄露网站

2 月 19 日，代号为克罗诺斯的联合执法行动宣称捣毁了 LockBit 的基础设施，其中包括托管数据泄露的网站、34台镜像服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。

攻击发生后，该团伙立即确认了此次泄露，称他们只丢失了运行 PHP 的服务器，备份系统未受影响，并表示这是因为组织的疏忽和懈怠导致。

颇有自信的回归

LockBit重新宣布运转后，除了新上线的数据泄露网站，他们还提供了有关被执法部门利用的漏洞的详细信息，以及他们将如何运营业务以使的基础设施更难以被攻击。

LockBit表示，组织内受害者的管理和聊天面板服务器以及博客服务器所运行的PHP 8.1.2版本很可能被执法部门利用 CVE-2023-3824漏洞攻破。为此，LockBit更新了 PHP 服务器，并宣布将为在新版本中发现漏洞的人给予奖励。

在新上线的数据泄露网站上，LockBit还专门给执法部门（他们统称为 FBI，此次联合执法行动的重要参与机构之一）留下了一篇长文，称他们攻击LockBit是因为不想让佐治亚州富尔顿县的信息泄露，其中涉及到特朗普的法庭案件，这将影响即将到来的美国总统选举。今年1月，LockBit对该县进行了攻击，导致大范围IT服务中断。

长文中还提到，LockBit将通过对包括FBI在内的政府部门实施更频繁的攻击，以此来发现弱点并让自身变得更加强大。

“通过攻击 .gov 部门，您可以准确地知道 FBI 是否有能力攻击我们。” 该团伙写道。

参考来源：

LockBit ransomware returns, restores servers after police disruption