Macos Brawte nfaq 0 Comments

LockBitの漏洩により、約200社の関連会社と特注のデータ窃盗マルウェアが暴露される

Table of Contents

LockBitの漏洩により、約200社の関連会社と特注のデータ窃盗マルウェアが暴露される

今週のLockBitの漏洩に関連して法執行当局から新たに明らかになったのは、このランサムウェア集団が過去2年間で約200の「関連団体」を登録していたということだ。

アフィリエイトとは、この犯罪組織のランサムウェア・アズ・ア・サービス・モデルを購入し、脅迫された被害者から得た略奪品の一部と引き換えに、LockBit の製品を喜んで使用する人々のことである。

このグループに関する新たな情報は、LockBitのサイトを管理し、昨日それを改変して世界有数のランサムウェア集団の摘発に成功したと発表した国家犯罪対策庁(NCA)によって毎日発信されている。

本日のLockBitの漏洩により、同グループのアフィリエイトポータル内部からの情報が共有され、2022年1月31日から2024年2月5日までの間に登録された187の異なるアフィリエイトが明らかになった。

NCAが公開したLockBit 3.0関連会社のリスト

NCAが公開したLockBit 3.0関連会社のリスト

FBIは2020年に初めてLockBitの捜査を開始したが、同グループはそれ以来ランサムウェアの新しい亜種を開発しており、その最新版は2022年半ばにリリースされた。そのため、本日共有されたデータには、最新バージョンのLockBitを展開したことがあるすべての関連組織が示されている可能性が高い。

LockBit のバックエンドを侵害して収集されたデータは、ランサムウェアの展開に関与し、LockBit アフィリエイト プログラムに参加するために金銭を支払った人物を調査するために使用されます。

「LockBitのプラットフォームから大量のデータが流出し、その後すべて破損した」と、現在NCAの管理下にあるLockBitのウェブサイトには記されている。 

NCAとパートナーは、このデータを基に、LockBitのアフィリエイトとして金銭を支払っているハッカーを特定するための更なる調査を調整していく予定です。ここで初めて、いくつかの基本的な詳細が公開されます。

昨日このニュースを報道したとき、私たちは LockBit のサイトが本質的に荒らしのページに変わったことを、NCA が犯罪者に中指を立てたことに例えました。そして今日、NCA はその中指をさらに突き立てました。

当局はLockBitの関連会社の別名を暴露しただけでなく、ログイン後に表示される関連会社全員に向けたメッセージで関連会社ポータルを改ざんした。

ウェブサイトによれば、英国、米国、フランス、ドイツ、スイス、オーストラリア、フィンランド、オランダの7か国が、アフィリエイトインフラをダウンさせるための多国間の取り組みに参加していたという。

「これらのサーバーは、関連会社による最初のサイバー攻撃を可能にし、被害者のデータを盗み出し、『StealBit』サーバーに処理させることをサポートした。」

StealBitの終焉

LockBit オペレーションが関連会社に提供する特注のデータ窃盗ツールである StealBit の詳細は、昨日の発表で少し触れられ、本日 2 番目の大きな暴露として公開されました。

LockBit のさまざまなランサムウェア ペイロードとその二重恐喝モデルについては長年にわたって多くのことが語られてきましたが、StealBit は 2021 年に遡る LockBit 2.0 攻撃で初めて導入されたあまり知られていないマルウェアです。

NCA は本日、StealBit の分析を公開し、LockBit 攻撃におけるこのツールの重要性と、このツールを展開する関連企業にとっての重要性を強調しました。

  • 警察はLockBitランサムウェア集団のカウントダウンタイマーを逆手に取る
  • LockBitランサムウェア集団、世界規模の作戦で壊滅
  • バンク・オブ・アメリカのデータ漏洩の発信源はインフォシスの子会社と特定
  • LockBit、小児病院へのランサムウェア攻撃に反省の意を示さず

ランサムウェアのペイロードが投下される前、そして組織がパスワードで保護された StealBit を使用してシステムからロックアウトされる前に、関連会社が被害者からデータを盗みます。

当局によれば、この抽出ツールが導入されると、関係者は特定のフォルダまたはコンピュータ全体からファイルを選択できるようになるという。

選択されたファイルは、WebDAV ヘッダーを使用して 6 つのプロキシ サーバーのいずれかを介して LockBit に送り返されます。WebDAV ヘッダーには、0 または 1 で始まる 33 文字の新しいファイル名、ファイル パス、コンピューター名、および一意の識別子が含まれます。

この固有識別子により、各データ窃盗の関係者を特定することができ、LockBit の経営陣はこれを使用して、特定の仕事に対して誰に報酬を支払うべきかを判断します。

StealBit は、盗んだデータを本社に送り返すために使用されるハードコードされた IP アドレスに接続できない場合、検出を回避するためにシャットダウンして自身をアンインストールします。

データを盗み出す最も一般的な方法は、StealBit のインフラを経由する前に、関連会社自身のインフラを経由させることであり、当局によれば、これはインシデント対応者がマルウェアのサーバーを見つけるのを防ぐためだという。

StealBitマルウェアを使って被害者のデータを盗むためにアフィリエイトが使用する2つの方法の図

StealBitマルウェアを使って被害者のデータを盗むためにアフィリエイトが使用する2つの方法の図

NCAはLockBitの支持者への最後の警告として、StealBitのプロキシサーバー6台すべてが発見され「破壊」されたこと、そして「十分に誤った方向に導かれて」サーバーをオンラインに戻そうとする者は発見されるだろうと述べた。

「StealBitは、LockBitが関連会社に暗号化、情報流出、交渉、公開といった完全な『ワンストップショップ』サービスを提供しようとする試みの一例です」と押収されたウェブサイトには記されている。

「本質的には、このマルウェアとその関連インフラがどのように動作するかを完全に分析し、理解しています。サーバーを特定し、破壊しました。誰かが誤った判断でこのマルウェアを使おうとした場合、再び特定することも可能です。」®

Macos

Smart Recommendations

Discover More