当局は、2月にこの地域でLockBit Leak Weekとして知られているイベントの成功を受けて、現在は壊滅状態にあるLockBitランサムウェア帝国に関係するさらに4人の人物を逮捕したと発表した。
最初の逮捕は、ロックビットの開発者とみられる人物がフランスと犯罪人引渡し協定を結んでいる地域に休暇で出かけていたとの通報を受け、フランス憲兵隊が命じた。
ランサムウェア犯罪者は、自国や同盟国の組織を攻撃しない限り、ロシアの検察当局が彼らを黙認していることを好んで利用していることが多い。これはまた、ロシア当局がこのような身柄引き渡し要求から彼らを守れないような場所に足を踏み入れるほど愚かでない限り、恐喝犯を手錠で拘束するのは非常に困難であることを意味する。
閉鎖から5ヶ月、LockBitはかつての面影を失っている
続きを読む
フランスの法律では逮捕された人物の身元を明らかにすることを禁じており、容疑者が拘留された国も明らかにされていないが、LockBitのリークブログへの投稿には、「この人物は、LockBitの組織犯罪グループに対するフランスの主要事件で重い罪に問われている」と書かれていた。
これは、これまで何年もかけてLockBitやランサムウェアの主要な容疑者を手錠で拘束しようとしてきた法執行機関にとって、確かにまれな勝利だ。
逮捕は8月に行われ、同月、英国でさらに2人が逮捕された。1人はLockBitの関連会社とのつながりの疑いで、もう1人はマネーロンダリング犯罪の疑いで逮捕された。
英国国家犯罪庁(NCA)は容疑者の身元を明らかにしていないが、警察は、2月にギャング団を壊滅させた際に押収した大量のデータを分析した結果、容疑者の身元が判明したと述べた。
警察の管理下にあると思われるLockBitのサイトには、現在、「両名は、オペレーション・クロノスで取得されたデータの分析と拡充を通じて特定されました。NCAの国家サイバー犯罪ユニットは、国際的なパートナーと緊密に協力し、LockBitに関与した疑いのある実在の人物を特定するために、このデータを積極的に迅速に分析し続けています。」と記載されています。
「改めて、Dmitry Khoroshev 氏 (別名 LockBitSupp) に、彼のプラットフォームに侵入してこの興味深いデータを発見することを許可していただいたことに感謝します (おかげでチームは忙しくしています!)」
スペイン治安警察もこの動きに加わり、マドリード空港で「重要容疑者」とされる人物を逮捕した。身元は伏せられているが、この人物はいわゆる防弾ホスティング事業の経営者とみられており、LockBitのようなサイバー犯罪インフラの主要担い手の一つとなっている。
防弾ホスティング会社は、サーバーやストレージなど、基本的に正規のホスティングサービスと同等の基本的なインターネットホスティングサービスを提供していますが、顧客による違法行為やオンライン上での不正行為の報告には応じません。そのため、顧客は様々な行為を免れています。また、これらのホスティング会社は、管轄区域の管轄から逃れるために、サーバーを地域間で移動させることもあります。
しかし、泥棒があなたのボックスだと思っているものを奪い取り、そのマシンの管理者と思われる人物を捕まえるとなると、それはちょっと難しいです。
「LockBitのインフラに関連するサーバー9台にアクセスし、押収しました」と、LockBitギャングを壊滅させるための世界警察協力作戦「オペレーション・クロノス」の担当者は述べた。「ランサムウェアグループの中核メンバーと関係者を訴追するための関連情報を入手し、現在分析中です。」
海に落ちる
本日発表された逮捕者は、ロックビットのメンバーと疑われる人物の逮捕としてはこれまででほんの数例に過ぎず、本日発表された逮捕者のように、いまだに名前が明らかにされていない者もいる。
警察のクロノス作戦の管理下にあるロックビットのリークブログが復活し、ギャング仲間と疑われる4人の逮捕のニュースを発表した。
例えば、ウクライナの警察は今年初め、LockBitの関係者と疑われていた父子を逮捕した。警察による同組織の壊滅直前のことだ。フランス政府の要請で逮捕された2人だが、名前は公表されていない。
これは、NCA が LockBit Leak Week を本格的に展開している最中に発表された。LockBit 自身の Web サイトを押収して漏洩した情報でいっぱいの 1 週間で、このグループは信用を失い、ブランドが台無しになる。
さらに苦痛なことに、米国はLockBitの関係者と疑われるアルトゥール・スンガトフ氏とイヴァン・コンドラティエフ氏2名も起訴したが、この2名はまだ逮捕されていない。
しかし、ロシア系カナダ人のミハイル・ヴァシリエフは今年初め、カナダ人被害者に対するサイバー恐喝、悪意ある行為、武器の所持の計8件の罪で懲役4年の判決を受けた。彼はまだ米国に引き渡されておらず、ロックビット関連の罪で起訴される予定だ。
2023年、当時20歳だったルスラン・マゴメドビッチ・アスタミロフは、理由は不明だが、アリゾナ州でFBIの自主的な事情聴取に応じ、デバイスを徹底的に調べられた後、少なくとも5件のLockBitランサムウェア攻撃に関与した疑いで逮捕された。
その1か月前の2023年5月には、LockBitの関係者と疑われているミハイル・パブロビッチ・マトヴェエフも米国で起訴されたが、これまでのところ、米国が犯罪人引渡し協定を締結している国からは遠ざかっており、依然として逃亡中である。
しかし最近、ウクライナ警察は再び、LockBitの関係者とされる人物を逮捕した。彼は2021年にコンティのランサムウェアを使って大手多国籍企業を攻撃した容疑で逮捕された。この人物の身元は、前述の親子の場合と同様に、公表されていない。
一方で、無罪推定の原則は維持されるべきであり、誰かの名前を公表し、犯していない犯罪に結びつけることは壊滅的な打撃となる可能性があります。それは理解できます。一方で、サイバー恐喝の疑いのある人々をめぐってカフカ的な状況が生まれることには警戒を怠らない方が賢明でしょう。
固まった疑惑
2月のLockBit Leak Weekの一環として、NCAが率いるOperation Cronosチームが、被害者が身代金を支払った後もLockBitが盗んだデータを保管していた証拠を発見したと暴露した。
これは、身代金を支払えば、攻撃中に流出し支払いの材料として使われたデータは破壊されるという、ランサムウェア実行犯によって永続化された常識に反する。
しかし、サイバーセキュリティコミュニティーの多くの人々は、この約束(このような犯罪者からの約束を信じられるかどうかは別として)が本当に守られるのかどうか疑問視していた。
LockBit の妨害者たちの主張はそれらの疑念を払拭するものとなったが、今日までこの件についてはそれ以上ほとんど語られていなかった。
当局は、ロックビットのソースコードを数ヶ月かけて徹底的に調べた結果、ロックビットが被害者が金銭を支払った後も彼らの情報を保持していただけでなく、関連会社に提供されたツールはデータが決して削除されないように開発されていたことを示す証拠を発見したと述べている。
- NCAは「Evil Corp」の首謀者であり、LockBitの関係者でもあると疑われる男の正体を暴露
- ウクライナ警察、ロックビットの要人コンティと思われるキエフのプログラマーを逮捕
- FBIはLockBitの被害者に対し、無料の暗号解読キーを得るためにすぐに行動を起こすよう呼びかけている。
- サイバー警察、謎のEmotet首謀者に関する情報提供を要請
このプロセスの技術的な説明は、Operation Cronos の管理下にある LockBit の自社 Web サイトに本日公開されました。
この報告書から、捜査官たちは、アフィリエイトがデータを削除したつもりでもデータが保持されるようにツールが開発されていたと推測することができました。アフィリエイトは通常、支払いが完了すると、犯罪者が入手した被害者のデータとLockBitのサイトへの投稿をすべて消去するように見えるボタンをクリックしますが、実際にはどちらも実行されませんでした。
LockBitのアフィリエイトパネルには、被害者のデータを削除するオプションがありました。「このフォルダを削除しますか?」というポップアップウィンドウが表示され、「はい」と「いいえ」の2つのボタンが表示されました。
捜査官たちはこれらのボタンのコードを詳しく調べた結果、「はい」ボタンが実際には「はい」を意味していないことを発見した。クリックするとLockBit本社にリクエストが送信されるだけで、本社は被害者のデータ削除リクエストを承認または拒否することができた。
また、たとえそのリクエストが承認されたとしても、LockBit 管理者が各フォルダー ID を 1 つずつ繰り返し入力して、各ファイルを手動で削除する必要があります。
オペレーション・クロノスは、実際にデータを削除する権限を持っていたのはロックビットの容疑者であるドミトリー・ホロシェフのみであり、関係者はデータが本当に消去されたかどうかを知ることはできなかったと主張した。
さらに当局は、LockBitが2022年以降にデータを一切削除していないと述べた。
この発見は、ランサムウェア犯罪者に身代金を支払ったとしても、攻撃中に盗まれたデータが悪用しようとする者から自動的に安全になるとは限らないという考えをさらに強固なものにしている。
「LockBitはあなたたちを失望させました」とクロノスは言った。「アフィリエイト、開発者、そしてマネーロンダリング業者の皆さん、近いうちに皆さんとお会いできるのを楽しみにしています。」®
