2月19日に法執行機関によってリークサイトが閉鎖されました。しかし、2月26日に運営者とされる脅威アクターのLockBitSuppがリークサイトの復活を表明しました。

1週間程で復活をするとは驚異的な早さです。バックアップを取っていたため新しいドメインで復活できたようです。

リークサイトへアクセスすると公開されている企業が何社かありました。

LockBitSuppによれば、法執行機関がサイトを攻撃した理由は、LockBitが今年1月に発生した米国ジョージア州フルトン郡のfultoncountyga.govへの攻撃を行っていて、その情報を漏洩させたくなかったためと推測されています。

盗まれた文書には興味深い内容がたくさん書かれており、ドナルド・トランプの裁判も含まれていて、次のアメリカ選挙に影響を与える可能性があるからとのことです。

また、サイトが攻撃された理由は、怠慢が原因と述べています。5年間で大金を稼いだことで非常に怠け者になり、ヨットで優雅な暮らしをしていたためと述べています。

気が緩んでいたため、PHPの更新を怠っていたそうです。サーバーには、PHP 8.1.2 バージョンがインストールされており、おそらくCVE-2023-3824を悪用してPHPがインストールされている2つの主要サーバーが乗っ取られたと主張しています。ですが、原因はこのCVEではなく、0dayなどの別の原因である可能性があると推測しています。

LockBitSuppは名誉ある賞に値する唯一の人は、サーバーに適したCVEを見つけた人と述べており、給料が100万ドル(約1億5000万)未満なら、自分の元で働くようにと、法執行機関に対して勧誘を持ちかけています。

法執行機関がLockBitSuppの年収は1億ドルあると述べていて、それは本当だと自分で主張しています。

さらに、LockBitは.govの政府ドメインへのハッキングをより多く行うと宣言しました。法執行機関に報復するつもりのようです。

法執行機関はLockBitの実行部隊(アフェリエイト)へのニックネームを発見して暴露しました。ですが、それはフォーラムでの本当のニックネームとは何の関係もないため、無価値だと主張しています。

法執行機関が5年間の作戦期間中に全ての復号機を手に入れたわけではなく、全体の2.5％に過ぎないとも述べています。

終わりに

法執行機関もLockBitも個人的には、どちらも嘘をついている可能性が高いような気がします。ですので、あまり情報を鵜呑みにしないようにした方が賢明かもしれません。

個人的に今回のケースで思った点が二箇所あって、例え優れたハッカーであってもシステムのアップデートを忘れたために、法執行機関から攻撃を食らったという点とバックアップの重要性を改めて実感しました。

どちらも億劫な作業ですが、忘れずに行いたいところです。

ではまた・・・

参考

https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt