暗网勒索团伙LockBit最近几个月遇到了严重问题，其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥（Jon DiMaggio）报道的，他发布了他的[勒索软件日记项目的第三部分]。

LockBit采用了勒索软件即服务（RaaS）的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击，并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员（附属合作伙伴）分配，后者最多可获得75%的赎金。

“我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时，尚不完全清楚LockBit背后的人是否已经陷入了混乱，或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。

他补充说，LockBit在发布受害者数据时面临一些问题。他认为，该组织的成员试图利用两大暗网论坛（Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛）上的说服性宣传，来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反，该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示，这是由于该集团内部基础设施和低带宽的限制。

DiMaggio表示，LockBit最近升级了其基础设施以解决这些缺点。然而，这实际上是一种策略，旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道，尽管有最新声明，LockBit无法发布有关受害者的大量数据。

DiMaggio发布了他的主要发现：

一、LockBit目前可能已经被入侵

暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作，但是在DiMaggio与LockBit团伙分享他这份报告中的发现后，LockBit团伙就从Tox上消失了。与此同时，DiMaggio收到了来自LockBit附属合作伙伴的消息，他们认为是DiMaggio入侵了该团伙。然后，DiMaggio收到了来自第三方的另一条消息，表明他们可能已经入侵了该团伙的基础设施。当时，尚不清楚LockBit团伙背后的人是否已经躲藏起来，或者只是在休息，但他们没有活动的情况非常明显，DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。

二、Lockbit无法持续发布和泄露受害者数据

LockBit团伙在其暗网泄密网站上进行宣传，并在犯罪论坛上进行大肆宣扬，以掩盖其经常无法持续发布被盗数据的事实。相反，它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故，除了附属合作伙伴之外，没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。

三、LockBit最近更新了其基础设施来解决这些问题

然而，这只是一个噱头，让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常，这是一个谎言和策略，目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样，通过其管理面板持续托管和发布大量受害者数据”的事实。此外，在过去的六个月里，LockBit提出了空洞的威胁，但在许多受害者拒绝付款后却没有采取任何行动。

四、附属合作伙伴正在离开LockBit，转而投奔其竞争对手

他们知道，尽管LockBit声称无法发布大量受害者数据。此外，他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。

LockBit团伙错过了最新的发布日期，无法生成更新的勒索软件变体来支持其附属合作伙伴。

五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件

LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件，用于自己的运营，并通过其管理面板提供。它希望提供点菜式的勒索软件产品，并成为黑客附属机构的一站式商店。