LockBit摘発

Security
2024.02.23

数日前からランサムウェアグループ ” LockBit ” 摘発のニュースが続々と出ていますのでまとめてみました。

英国MCAの発表

International investigation disrupts the world’s most harmful cyber crime group
The National Crime Agency is today, Tuesday 20 February, revealing details of an international disruption campaign targe...
www.nationalcrimeagency.gov.uk

ユーロポールの発表

Law enforcement disrupt world’s biggest ransomware operation | Europol
LockBit is widely recognised as the world’s most prolific and harmful ransomware, causing billions of euros worth of dam...
www.europol.europa.eu

摘発者

Operation Cronos(クロノス作戦)と名付けられた10カ国の警察をコアメンバーとした国際協調グループ。英国家犯罪対策庁(NCA)が主導。

摘発者の構成

構成10カ国は下記の通り。

  • フランス:国家憲兵隊 (Gendarmerie Nationale – Unité Nationale cyber C3N)
  • ドイツ:シュレースヴィヒ ホルシュタイン州刑事捜査局 (LKA Schleswig-Holstein)、連邦刑事警察署 (Bundeskriminalamt)
  • オランダ:国家警察 (ゼーラント州西ブラバント州サイバー犯罪チーム、東ブラバント州サイバー犯罪チーム、ハイテク犯罪チーム) および西ブラバント州ゼーラント検察庁
  • スウェーデン:スウェーデン警察当局
  • オーストラリア:オーストラリア連邦警察 (AFP)
  • カナダ:王立カナダ騎馬警察 (RCMP)
  • 日本:警察庁(警察庁)
  • 英国:国家犯罪庁 (NCA)、南西部地域組織犯罪対策局 (南西部 ROCU)
  • 米国:米国司法省 (DOJ)、連邦捜査局 (FBI) ニューアーク
  • スイス:スイス連邦警察庁 (fedpol)、チューリッヒ州検察庁、チューリッヒ州警察

他に支援機関は以下の4つ。

  • フィンランド:国家警察 (Poliisi)
  • ポーランド:クラクフ中央サイバー犯罪局 ( Centralne Biuro Zwalczania Cyber​​przestępczości – Zarząd w Krakowie)
  • ニュージーランド:ニュージーランド警察 (Nga Pirihimana O Aotearoa)
  • ウクライナ:ウクライナ検事総長室 (Офіс Генерального прокурора України)、ウクライナ治安局サイバーセキュリティ局 (Служба безпеки України)、ウクライナ国家警察 (Національна пол) України)

発表

ユーロポール(ヨーロッパ刑事警察機構)が2024年2月20日に発表。

成果

1,000以上の暗号の復号鍵を入手。

ソースコードの押収。

11000のドメイン押収。

押収したサーバー数は34ヶ所(オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、米国、英国)

利用していた暗号通貨関連200口座を閉鎖。

データ流出やインフラに関連する14000アカウントを閉鎖。

なお、身代金を支払ったとしても被害者の情報は削除されないことが判明しています。(身代金が払われた後の情報も削除されずに保存されていたので。)

ポーランドとウクライナで主要メンバー2人を逮捕。 

(メンバー数自体は、旧ソ連出身者を中心に数百人程度いますので全員逮捕ではありません。)

米国国務省は、LockBit ランサムウェア グループの主要リーダーの特定と逮捕につながる情報に対して、最大 1,500 万ドルの賞金を支払うと発表しました。

摘発方法

PHPの脆弱性(CVE-2023-3824)を利用し、LockBitのサイトに対する逆ハッキング(ハックバック)でサイトを閉鎖し、情報の窃取に成功したようです。

PHPは古いバージョン(8.1.2)だったとのことです。

PHPはWebサイト上で動くスクリプト言語であり、CVE-2023-3824は古いPHPバージョンでのpharアーカイブ展開時のバッファ・オーバーフロー脆弱性です。

リークサイトは押収されて、現在下記バナーに書き換わっているそうです。(Torにあるので私は見に行ってませんが。)

lockbit

(国旗では上記10カ国に加えてフィンランドが加わって11カ国が表示されています。)

LockBitの手口

LockBitは2021年9月3日出現しました。

企業や病院などに侵入し、そのデータを暗号化し、復号の条件として身代金(ランサムウェア)を要求します。(一重恐喝)

さらには、盗んだ情報を漏洩すると脅迫します。(二重恐喝)

例え身代金を払っても情報は消してくれません。(今回これが判明しました)

さらには、DDos攻撃をします。(三重恐喝)

DDos攻撃とは、アクセスを集中させて接続しにくくさせる、嫌がらせ攻撃です。

実行部隊はアフィリエイトといわれる多数の別組織が担当しています。

このアフィリエイトを募集してRansomware-as-a-service(RaaS)として攻撃ツールを提供して攻撃させます。

ランサムウェア被害の2割はLockbitの仕業であると言われています。

日本の警察の貢献

警察庁関東管区警察局サイバー特別捜査隊(2022年4月発足)がリバースエンジニアリングにより復号ツールを開発し供与しています。2024年2月21日 発表

復号ツール提供サイト ” No More Ransom

no more ransom

このツールはユーロポールの検証で有効性が実証されました。

今後

過去の例から見て、後継のグループが出現する可能性が高いです。

例えば、2023年12月には ” Blackcat/ALPHV ” のサイトが摘発されたが、数時間でサイトが復活しました。

また2022年5月19日に解散したContiは、そのメンバーが他のグループや新グループに移動して活動しています。

まとめ

やはり防御(ハッキングからの防衛)ばかりではいつまで経っても終結しません。
結局、攻撃(ハッキングのやり返し)をきっかけにLockBitに打撃を与えた、という話です。

2024/5/11 追記

2024年5月8日、LockBitの首謀者と思われる人物(管理者兼開発者)が特定されたとのことです。最大1,000万ドルの懸賞金がかけられたとのこと。

2024/6/8 追記

FBIはLockbit摘発時に押収した7000件以上の復号キーを被害者に引き渡すので、被害者は名乗り出るよう呼びかけています。

FBI recovers 7,000 LockBit keys, urges ransomware victims to reach out
The FBI urges past victims of LockBit ransomware attacks to come forward after revealing that it has obtained over 7,000...
www.bleepingcomputer.com

コメント

タイトルとURLをコピーしました