近年、ランサムウェアを企業に仕掛けて身代金を要求したり、盗んだデータをリークサイトで公開したりと、DDoSなども含めた三重恐喝などを行っていたハッカー集団「LockBit」が11カ国の法執行機関により、リークサイトがテイクダウンされました。

LockBitの関係者2人(Ivan Kondratyev [Bassterlord]、Artur Sungatov)が起訴され、同グループに関連する200以上の仮想通貨アカウントが凍結されました。

リークサイトにアクセスすると「このサイトは現在、英国国家犯罪庁(NCA)の管理下にある」と書かれています。

さらに、法執行機関によってページが書き換えられています。

LockBitのハッカー(アフェリエイト)が法執行機関によって暴露されています。

ロックビット（LockBit）ランサムウェアの亜種攻撃に参加した個人の逮捕や有罪判決につながる情報、およびロックビット（LockBit）ランサムウェア・グループの主要なリーダーの特定や所在につながる情報に対し、総額最高1500万ドルの報奨金を提供することを発表しています。

今回のテイクダウンは各国の法執行機関によって行われたクロノス作戦によるもので、作戦は現在も進行中とのこと。

NCAはFBIと緊密に連携し、他の9か国の国際パートナーの支援を受けて、クロノス作戦と呼ばれる専用の特別部隊(タスクフォース)の一環としてLockBitを秘密裏に捜査していたようです。

• フランス: National Gendarmerie (Gendarmerie Nationale – Unité nationale cyber C3N)

• ドイツ: State Bureau of Criminal Investigation Schleswig-Holstein(LKA Schleswig-Holstein), Federal Criminal Police Office (Bundeskriminalamt)

• オランダ: National Police (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) & Public Prosecutor’s Office Zeeland-West-Brabant

• スウェーデン: Swedish Police Authority

• オーストラリア: Australian Federal Police (AFP)

• カナダ: Royal Canadian Mounted Police (RCMP)

• 日本: National Police Agency (警察庁)

• イギリス: National Crime Agency (NCA), South West Regional Organised Crime Unit (South West ROCU)

• アメリカ: U.S. Department of Justice (DOJ), Federal Bureau of Investigation (FBI) Newark

• スイス: Swiss Federal Office of Police (fedpol), Public Prosecutor's Office of the canton of Zurich, Zurich Cantonal Police

日本の警察庁もこの作戦に参加しているようです。

また、この活動の成功は、以下の国々の支援のおかげで可能となったこと。

• フィンランド: National Police (Poliisi)

• ポーランド: Central Cybercrime Bureau Cracow (Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie)

• ニュージーランド: New Zealand Police (Nga Pirihimana O Aotearoa)

• ウクライナ: Prosecutor General`s office of Ukraine (Офіс Генерального прокурора України), Cybersecurity Department of the Security Service of Ukraine (Служба безпеки України), National Police of Ukraine (Національна поліція України)

LockBitは2019年末に初めて出現し、最初は自らを「ABCD」ランサムウェアと呼んでいました。それ以来、このウイルスは急速に成長し、2022 年には世界で最も多量かつ有害なランサムウェアとして広く認識されています。

世界中の被害者に対して2,000 件を超える攻撃を実行し、業務の中断や機密情報の破壊や流出などの高額な費用を引き起こしました。

LockBitランサムウェアの被害から回復するために支払われた身代金は1億4400万ドルを超えています。

また、2023年7月4日に名古屋港を攻撃しました。世界各国の企業を標的とし、身代金を支払わなかった企業の機密情報をリークサイトで公開していました。

Lockbitのグループ管理者は、法執行機関がCVE-2023-3824を悪用してサーバーを侵害したと主張しています。

法執行機関はLockBitのソースコード、チャット履歴、被害者情報、金額、盗まれたデータやその他の情報も押収したと述べています。

LockBitのインフラストラクチャは現在、法執行機関の管理下にありデータ流出やインフラストラクチャに関与している14,000を超える不正アカウントが特定され、法執行機関に削除を依頼されています。

国家犯罪対策庁のグレアム・ビガー長官は、「このNCA主導の捜査は、世界で最も有害なサイバー犯罪グループの画期的な崩壊である。これは、犯罪行為がどこであろうと、またどれほど高度であっても、当局とそのパートナーの手の届かないものではないことを示しています。

「緊密な協力を通じて、私たちはハッカーをハッキングしました。インフラストラクチャを制御し、ソースコードを押収し、被害者がシステムを復号化するのに役立つ鍵を入手しました。」

「現在、LockBit はロックアウトされています。私たちは秘密と匿名性に依存していたグループの能力、そして最も顕著なことにその信頼性を傷つけました。」

「私たちの仕事はここで終わりではありません。ロックビットは犯罪組織の再建を目指すかもしれない。しかし、私たちは彼らが誰であるか、そして彼らがどのように活動しているかを知っています。私たちは粘り強く、このグループとその関係者をターゲットにする取り組みをやめません。」

ジェームズ・クレバリー内務大臣は、「国家犯罪庁の世界有数の専門知識は、世界で最も多量なランサムウェアの背後にいる人々に大きな打撃を与えた」と述べた。

No More Ransom で利用可能な復号ツール

警察庁がLockBitランサムウェアによって暗号化されたファイルを回復するための復号ツールを開発して、ユーロポールに提供したそうです。

これらのソリューションは、「No More Ransom」ポータルで無料で利用可能であり、37か国語で利用できます。これまでに、世界中で600万人以上の被害者が No More Ransomの恩恵を受けています。No More Ransomには、150種類以上のランサムウェアを解読できる 120 以上のソリューションが含まれています。

終わりに

LockBitはRaaS(Ransomware as a Service)を行うハッカー集団の中でもトップクラスだったため、他のランサムウェアギャングにも、この事件は多大な影響を与えたと思います。

ではまた・・・

参考