LockBitは、法執行当局によって「世界で最も多発するランサムウェア・ギャングの1つ」と評されたが、米国、英国、および他の半ダースの国の当局者を含む協調キャンペーンで解体されたと、複数の機関が本日発表した。
米国司法省は、米国企業に対してロックビット攻撃を行った2人のロシア人男性、アルトゥール・サンガトフとイワン・コンドラチエフに対する起訴状を公開した。サンガトフは2021年1月以降、少なくとも6つの州にわたって製造業者や保険会社などを攻撃したとされる。
「メリック・ガーランド司法長官は司法省のリリースの中で、「今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。「私たちはさらに一歩進んで、押収したロックビットのインフラストラクチャから鍵を入手し、被害者が押収したシステムを復号化し、データへのアクセスを回復できるようにしました。
ネット上で “Bassterlord “として知られるKondratyevは、2021年8月からオレゴン州、プエルトリコ、そして海外の市政府から企業まで幅広いターゲットにランサムウェアを展開したとされている
。
LockBitを破壊するオペレーション・クロノスの世界的な範囲。画像: Europol
財務省外国資産管理局(OFAC)は、スンガトフとコンドラチェフを制裁し、米国の個人と企業の彼らとの取引を禁止し、米国の管轄下にある資産を凍結し、彼らにリンクされている9つのビットコインと1つのイーサリアムのウォレットアドレスを制裁リストに追加した。
ユーロポールの火曜日の発表によると、数ヶ月に及ぶ「クロノス作戦」は、被害者のデータを暗号化し、支払いを強要するロックビットのランサムウェア攻撃の実行に使用された、ヨーロッパ、北米、オーストラリアにまたがる数十台のサーバーの押収につながった。
当局は、ロックビットが支払いを拒否した被害者から盗んだ機密データを公開していたダークウェブ上のポータルサイトも掌握した。
「我々は今、世界で最も多発するランサムウェア集団のひとつであるロックビット・グループのオンライン・バックボーンを破壊した」と、ユーロポールのカトリーヌ・デ・ボレ事務局長は声明の中で述べた。
「サイバー犯罪者を刑務所に入れるための第一歩は、サイバー犯罪が発生したときに報告することです。「通報が早ければ早いほど、法執行機関は新しい手口を迅速に評価し、被害を抑えることができる。
ロックビットとは何だったのか?
LockBitは、被害者のファイルを暗号化し、身代金(通常は暗号通貨)を支払わない限り被害者をネットワークから締め出すランサムウェアを使い、2020年初頭に初めて出現した。司法省の起訴状によると、支払いは通常ビットコインで要求された。
他の「ランサムウェア・アズ・ア・サービス」ギャングと同様、LockBitは、マルウェアツールを作成し、インフラを運営する開発者のコアグループを通じて運営され、その後、収益の一部を受け取る代わりにターゲットに感染させるアフィリエイトを募集した。ロックビットの開発者はダッシュボードを管理し、アフィリエイトが数回クリックするだけで攻撃を開始できるようにしていた。
2022年、ユーロポールによると、LockBitは他のランサムウェアを凌駕し、世界で最も広く展開されているランサムウェアとなった。司法省によると、このシンジケートは全世界で2,000人以上の被害者から1億2,000万ドル以上の身代金を要求しており、その総額は数億ドルに達すると見られている。
LockBitは、暗号化されたデータだけでなく、盗まれた情報の暴露や破壊的なサービス妨害攻撃でも被害者を脅し、「三重の恐喝」を行ったことで有名になった
。
当局の反撃
10カ国の法執行機関からなる “オペレーション・クロノス “タスクフォースは、数カ月にわたってロックビットを削り取っていた。転機となったのは、ロックビットがランサムウェアを展開し、そのオペレーションを管理するために依存していた数十台のコマンド・アンド・コントロール・サーバーが押収されたことだった。ユーロポールによると、当局は現在、「ロックビット・サービスの全要素を作動させる技術インフラを掌握」している。
その結果、「流出やインフラに責任のある14,000以上の不正アカウントが特定され、削除のために照会された」と同機関は述べている。
さらに、フランスと米国の当局は、ロックビットのメンバーとされる人物を逮捕または起訴している。ポーランドは2022年10月にランサムウェアの容疑者イワン・コンドラチエフを拘束し、ウクライナでは別のロシア人が逮捕された。
最近の攻勢に関連して、3件の国際逮捕状が発行された。フランス当局も5件の起訴を確保した。一方当局は、ロックビットのメンバーが身代金の支払いに使用したとされる暗号通貨ウォレットを凍結した。
「これは、ランサムウェア攻撃の原動力となっている経済的インセンティブを破壊するための取り組みを強調するものです」と司法省は述べている。
被害者の回復を支援
ロックビットのシステムを管理することで、当局は数百人の被害者がデータへのアクセスを回復できるよう復号鍵を入手した。
リサ・モナコ司法副長官は発表の中で、「私たちはロックビットに逆転の一手を打ち、復号鍵を提供し、被害者データのロックを解除し、世界中でロックビットの犯罪関連会社を追求しています」と述べた。
LockBit攻撃の被害者は、司法省のウェブサイトを通じて法執行機関に連絡し、ファイルが復号化できるかどうかを確認するよう奨励されています。
これらのソリューションは、37の言語で利用可能な「No More Ransom」ポータルでも無料で利用できる。No More Ransomには、150種類以上のランサムウェアを解読できる120以上のソリューションが含まれている。
モナコは、この作戦は最も攻撃的なランサムウェアグループのひとつに大きな後退を与えるが、サイバー犯罪者に対する最後の行動にはならないだろうと述べた。
「われわれの捜査は今後も継続され、ロックビットのメンバー全員(開発者や管理者から関連会社まで)を特定し、告発する決意は変わらない」とフィリップ・セリンジャー連邦検事は語った。「我々は彼らを指名手配犯としてスポットライトを当てる。彼らはもう影に隠れることはない」
。
