在被国际执法组织捣毁仅几天后，LockBit勒索软件团伙正在卷土重来。

上周执法机构宣布了“Cronos行动”，这是一项由英国国家犯罪局（NCA）领导的捣毁LockBit的行动。该行动还涉及来自美国、加拿大、法国、德国和其他几个国家的执法机构。这些执法机构查获了三个国家的28台服务器，并控制了LockBit的泄密网站和该集团的管理门户。波兰和乌克兰的两名嫌疑人也被捕，尽管他们尚未被确认。

在与Cronos行动公告一起发布的视频声明中，美国司法部长Merrick Garland表示，LockBit对2000多名受害者和超过1.2亿美元的勒索付款负责。2022年，Malwarebytes称LockBit为最多产的勒索软件团伙。其更引人注目的受害者包括英国皇家邮政和波音公司。

当时，英国国家犯罪局总干事Graeme Biggar在一份公告中表示，LockBit运营商已被“捣毁”，这损害了其信誉。虽然Biggar指出LockBit可能会寻求重建其犯罪组织，但没想到四天后他们就卷土重来。

周六，LockBit用新的.onion域名恢复了其服务器。不久之后，一名行政人员发布了一条很长的消息来回应捣毁事件。在发帖中，管理员说，该团伙的安全受到影响，因为该帖子的作者“变得非常懒惰”。作者还表示，关键的PHP漏洞（被标记为CVE-2023-3824）可能是该事故的原因，但他们不确定，并表示也可能是零日漏洞。

LockBit管理员将被捣毁行动归咎于美国联邦调查局，并表示该局决定入侵该团伙是因为，LockBit获得了关于前美国总统特朗普的敏感信息，可能会影响即将到来的总统选举。LockBit勒索软件最近袭击了佐治亚州富尔顿县，当局正在对特朗普和几名涉嫌试图颠覆2020年总统选举的同案被告提出刑事指控。

该帖子的作者写道：“FBI决定现在进行黑客攻击，原因只有一个，因为他们不想https://fultoncountyga.gov/网站信息泄露，被盗文件包含很多有趣的东西和特朗普的法庭案件，这些案件可能会影响即将到来的美国选举。从这种情况中可以得出什么结论？很简单，我需要更频繁地攻击.gov部门，正是在这种攻击之后，FBI将被迫向我们展示弱点和漏洞，让我们变得更强大。”

在与TechTarget Editorial分享的一份声明中，美国联邦调查局发言人表示，他们的行动预计会重新开始，并指出向受害者提供解密密钥是该行动的优先事项。声明全文如下：

“联邦调查局及其合作伙伴预计LockBit威胁行为者将试图重组和重建；然而，我们的工作重点是想办法为一千多名受害者提供解密其网络的能力，我们将继续为那些受影响的人提供援助。”

“虽然一个对象可以支撑新的基础设施，但我们会让他们更难操作，保护无数的新受害者，并玷污了其作为现存最多产的勒索软件的声誉。联邦调查局将继续打击勒索软件团伙，以防他们威胁任何组织或个人安全。”

Lockbit勒索软件集团行政人员向联邦调查局和旁观者发表了回应。总结来说：他们声称他们未能使系统保持最新状态，因为他们变得“懒惰”，并且变得自满。他们认为自己受到的攻击。

Emsisoft公司威胁分析师Brett Callow告诉TechTarget Editorial，鉴于其业务规模，他对LockBit试图卷土重来并不感到惊讶，虽然该团伙的明显回归是迅速的，但Cronos行动不应被视为失败。

他说：“虽然试图卷土重来无疑凸显了永久结束勒索软件操作的挑战，但这并不意味着行动是失败的。相反，这是一个非常大的胜利，导致执法部门获得信息，有望使他们能够进行更多的逮捕，并对勒索软件供应链造成更多破坏。尽管LockBit试图进行损害控制，但执法部门也可能对该品牌造成了致命的打击。其他网络犯罪分子不会再相信LockBit操作的完整性，或者想与背后的个人合作。”

Sophos公司威胁情报总监Christopher Budd警告说，即使捣毁“100%有效”，并导致其所有成员被捕，“这也不会阻止已经在野外且现在不受该团体控制的恶意软件。”

Budd说，这凸显了另一个经常被忽视的事实：这些犯罪团伙的进攻能力已经成为更广泛的威胁环境的一部分，不受任何人控制。你可能会受到像LockBit这样的团体开发的恶意软件的威胁和攻击，而不是直接受到他们的威胁和攻击。