西側諸国の警察は、LockBitのインフラを押収し解体する中で、同組織の秘密を長々と暴露すると約束することで、ランサムウェア犯罪者を嘲笑している。
昨日、LockBit のサイトが差し押さえられたとの発表で情報セキュリティの世界が活気づいた後、クロノス作戦と名付けられたこの削除作戦に携わる当局は、恐喝者のダークウェブ漏洩サイトを完全に掌握し、暴露の中心地に変えた。
このサイトは、このグループの犠牲者全員を掲載していた当時と同じ基本形式を維持しているが、小児病院、学校、慈善団体の代わりに、各投稿が事件に関する新たな暴露につながり、今後もさらに増える予定である。
2024年2月にNCAがLockBitのリークブログを改ざん
英国の国家犯罪庁(NCA)は、LockBit のサイトと管理環境を管理している機関であり、今週を通じてゆっくりと情報を発信してきた主体である。
LockBitの典型的なやり方として、カウントダウンタイマーが乗っ取られ、LockBitのリーダーと思われる人物の正体を含む様々な情報が明らかになる時間が明らかにされています。デジタルであれアナログであれ、イギリス人ほど中指を立てる人はいません。
残りの情報が少しずつ明らかになるのを待つ間、クロノスに関与した10の当局は今日、ウクライナとポーランドでロックビットの関係者2人が逮捕されたと発表した。
これは、近年米国とカナダで行われた2件の逮捕を基盤としています。ミハイル・ヴァシリエフとルスラン・マゴメドヴィッチ・アスタミロフはそれぞれ2022年と2023年に逮捕され、現在も拘留されており、LockBitランサムウェアの開発と展開に関与したとして米国で裁判を待っています。
米国司法省(DoJ)も本日、ロシア国籍のアルトゥール・スンガトフ氏とイワン・コンドラティエフ氏を米国の被害者に対してLockBitランサムウェアを配布したとして起訴する起訴状を公開した。
しかし、これらは単なる起訴状であり、2人が、米国に国民を引き渡すことは決してないロシアから、米国と犯罪人引渡し協定を結んでいる国に渡航するような愚かなことをしない限り、米国の刑務所に入ることは決してないだろう。
ランサムウェア攻撃を阻止する上で最も難しいのは、重要人物を逮捕することだ。なぜなら、多くの犯罪者がロシア、中国、イラン、北朝鮮に住んでいるからだ。これらの国々も、自国の犯罪者を米国に引き渡して裁判を受けさせることを望まない。
数人の関係者を逮捕することは法執行機関にとって勝利のように思えるかもしれないが、表面上はそう思われるかもしれないが、実際にはそれほど大きな影響をもたらすことはほとんどない。
リーダーシップチームと作戦の背後にいる頭脳が捕まらない限り、ランサムウェア集団が数か月間姿を消してはまた新たな姿で戻ってくるという悪循環が続くことになるだろう。
LockBitは4年以上活動していました。ランサムウェア集団を壊滅させるには、多くの国のトップクラスの人材が協力して多大な努力を払う必要があり、ランサムウェア集団の出現速度に追いつくことは容易ではありません。
しかし、Lockbitの成果を軽視するべきではありません。Lockbitは過去2年間で最も活発なランサムウェア集団であり、1億2000万ドル以上の身代金を要求し、2000人以上の被害者から脅迫してきました。彼らが壊滅したのは朗報です。
さらに、もし彼らが復帰を試みるなら、NCAのグレアム・ビガー局長は戦う姿勢を示した。
「我々の活動はこれで終わりではありません」と彼は述べた。「LockBitは犯罪組織の再建を図るかもしれません。しかし、我々は彼らが何者で、どのように活動しているかを知っています。我々は粘り強く、このグループとその関係者を標的とする努力を決して止めません。」
ユーロポールが提供したクロノス作戦の主要統計を詳述したインフォグラフィック
今日の他の主要な暴露の中で、クロノスチームは、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、米国、英国で 34 台の LockBit サーバーが停止されたと発表した。
これらのサーバーのうち 3 台は米国でホストされており、攻撃中に関連会社が使用した LockBit の StealBit データ窃盗マルウェアをホストしていた。
200以上の仮想通貨アカウントも凍結され、作戦のバックエンドを掌握した後に「膨大なデータ」が収集されました。これには1,000以上の復号鍵が含まれています。英国の被害者にはNCAから直接連絡が届きますが、米国の被害者は、ファイルが復号可能かどうかを確認するために、新たに開設されたFBI専用ポータルにアクセスするよう勧告されています。
さらに、ユーロポールの「No More Ransom」ポータルに復号ツールが追加され、37の言語で利用できるようになります。
NCAは「NCAはロックビット・プラットフォームのソースコードと、同社のシステムから同社の活動や同社と協力し、同社のサービスを利用して世界中の組織に危害を加えた者に関する膨大な情報も入手した」と述べた。
LockBitのアフィリエイトポータルのNCA提供のスクリーンショット
このデータを分析すると、身代金を支払った被害者に関するデータが保管されていたという証拠も見つかり、身代金を支払ったら犯罪者がデータを削除すると約束するにもかかわらず、被害者が犯罪者を信用できない理由が明らかになった。
- LockBitランサムウェア集団、世界規模の作戦で壊滅
- バンク・オブ・アメリカのデータ漏洩の発信源はインフォシスの子会社と特定
- LockBit、小児病院へのランサムウェア攻撃に反省の意を示さず
- サブウェイのデータがロックビットによって破壊されたとランサムウェア集団が主張
「この作戦は、我々の生活に影響を与えようとする悪意ある者から我が国のサイバーセキュリティと国家安全保障を守る我々の能力と決意の両方を示すものだ」とFBI長官クリストファー・A・レイ氏は述べた。
「我々は、サイバー脅威を特定し、阻止し、抑止し、犯人を責任追及するために、国内外の同盟国と協力し続ける」
今週の予定
NCA が述べたように、LockBit の活動に関するさらなる情報は今週毎日公開される予定であり、そこには興味深い内容も含まれています。
明日、2月21日、カウントダウンタイマーが設定され、LockBitの関連会社のインフラストラクチャ、StealBitの動作方法、およびギャングの関連会社に関する詳細情報が明らかになります。
翌日には、「アカウントの閉鎖」に関する情報(他にはあまり情報がありません)と、トレンドマイクロ、Prodaft、および Secureworks からのさまざまな技術レポートが掲載される予定です。
すべては2月23日金曜日に最高潮に達し、LockBitSuppの正体が大々的に明らかになると思われます。
ランサムウェア集団の広報担当者であり、リーダーと目される人物は以前、LockBitSuppの本名をダイレクトメッセージで送ってくれた人には100万ドルを支払うと発言していた。
また、LockBit の凍結され分析された暗号通貨ウォレットに関するさらなる情報も明らかにされており、これには同社が事業を展開していた期間に生み出した利益額に関する詳細も含まれています。
2月24日(土)23:00 UTC、NCAは最終措置としてサイトを永久閉鎖します。今のうちに、この見事に改ざんされたサイトを笑いながら堪能してください。
噂はどうですか?
LockBit とマルウェア収集業者 vx-underground の間で交換されたとされるメッセージによると、LockBit は、影響を受けたのは PHP 要素を実行しているサーバーのみであり、バックアップは影響を受けていないと考えているため、復旧の可能性があるという。
「ロックビットはこれまで、大規模な情報漏洩やブランド変更を乗り越え、耐性のあるランサムウェアの亜種であることを証明してきたが、今回の閉鎖が活動にどのような影響を与えるかはまだ分からない」とウィズセキュアの脅威情報・アウトリーチ担当ディレクター、ティム・ウェスト氏は述べた。
LockBit自身は、PHP要素を実行しているサーバーのみが影響を受け、データは安全であり、バックアップサーバーは影響を受けていないと主張しているが、これが事実であれば、Lockbitは(十分なリソースを持つ攻撃者として)かなり迅速に復旧できる可能性があることを意味するだろう。
LockBit社はまた、PHPのバッファオーバーフロー脆弱性(CVE-2023-3824)を悪用することで、法執行機関が犯罪者のサーバーに侵入できたと主張している。この脆弱性は、リモートコード実行につながる可能性がある。当局はこれを認めていない。
LockBitが復旧に成功すれば、FBIがALPHV/BlackCatの閉鎖を試みたものの、数日以内に犯罪者がインフラの支配権を奪還したのに続き、ここ数ヶ月で2件目の大規模ランサムウェア対策失敗となる。特に、この取り組みを称賛するプレスリリースが、支配権をめぐる争いがまだ続いている間に配信されたことを考えると、非常に恥ずかしい事態と言えるだろう。
しかし、NCA が LockBit のサイトを乗っ取る可能性がすでにある程度あることを考えると、より可能性が高いシナリオは、LockBit がどの程度侵害を受けたかに気付かず、回復できない状況になるだろう、と WithSecure のウェスト氏は述べた。
「我々が確実に知っていることの一つは、法執行機関の集団が、ロックビット社に最大限の混乱をもたらせ、最大限の損害を与えるために、短期的および長期的な影響の機会を慎重に検討してきたことは確かであり、我々は彼らの事業継続を阻害したり妨げたりするあらゆる行動を支持する」とウェスト氏は付け加えた。
「だからこそ、私たちは間違いなく複雑で困難な作戦だったであろうことを祝福し、関係者に祝意を表します。」®
