LockBit 3.0 が導入したバグバウンティ:情報の内容に応じて $1000〜 $1 million が支払われる

LockBit 3.0 introduces the first ransomware bug bounty program

2022/06/27 BleepingComputer — ランサムウェア・オペレーターである LockBit は、新たに LockBit 3.0 をリリースし、ランサムウェアとしては初めてのバグバウンティ・プログラムを導入し、新たな強奪戦術と Zcash 暗号通貨の支払いオプションについてもリークした。このランサムウェアは 2019年に立ち上げられた後に、最も多発するランサムウェアに成長し、2022年5月には全ランサムウェア攻撃の 40% を占めるまでに至った。

この週末に、LockBit は2カ月間のベータテストを経て、LockBit 3.0 という刷新された Ransomware-as-a-Service (RaaS) をリリースしたが、この新バージョンは、すでに攻撃で使用されていることも判明している。その暗号化の機能において、どのような技術的な変更が加えられたのかは不明だが、身代金メモの名前は Restore-My-Files.txt ではなく、以下のように [id].README.txt という命名形式に移行している。

LockBit 3.0 ransom note
LockBit 3.0 ransom note
Source: BleepingComputer

LockBit 3.0のバグバウンティ・プログラム

LockBit 3.0 のリリースに伴い、LockBit はランサムウェアによる初のバグバウンティ・プログラムを導入し、セキュリティ研究者に対して、$1000〜 $1 million の報酬と引き換えに、バグレポートを提出するよう求めている。LockBit 3.0 のバグバウンティのページには、「我々は、地球上の全てのセキュリティ研究者たちに、また、倫理的/非倫理的なハッカーたちに、このバグバウンティ・プログラムに参加するよう招待する。報酬額は $1000〜 $1 million と様々である」と書かれている。

LockBit 3.0 bug bounty program
Source: BleepingComputer

ただし、犯罪企業に対する協力は多くの国々で違法となるため、このバグバウンティ・プログラムは、正規の企業が一般的に行うものとは少し異なる。

さらに、LockBit は脆弱性に関する報奨金だけでなく、ランサムウェアの運用を改善するための素晴らしいアイデアや、競合するアフィリエイト・プログラム管理者に関する情報公開にも報奨金を支払っているそうだ。

LockBit 3.0 の運用に関連する、各種バグバウンティ・カテゴリは以下の通りである。

  • Web Site Bug:XSS 脆弱性/mysql インジェクション/標的サイトに対するシェル取得などの、バグの重大性に応じて支払われる。主な方向性は、Web サイトのバグを修正して信頼性の高い復号機を取得すること、および、暗号化企業との対応に関する履歴へのアクセスである。
  • Locker Bugs:ロッカーのバグ による暗号化中に発生したエラーに起因するファイルが破損を防ぎ、復号機を入手せずにファイルが復号化される可能性を排除する。
  • Brilliant Ideas:LockBit アイデアのための支払を惜しまない。私たちのサイトとソフトウェアを改善する方法を書いてほしい。最高のアイデアには対価が支払われる。競合相手にはなく、我々にあったら面白いものはなんだろう?
  • Doxing:アフィリエイト・プログラムのボスを Doxing するために、我々は $1 million を支払う。あなたが FBI 捜査官であろうと、追跡能力に長けた賢いハッカーであろうと、私たちに TOX メッセンジャーを贈り、そのボスの名前を教えてくれたら、Bitcoin もしくは Monero で $1 million を受け取れる。
  • TOX Messenger:通信の傍受/マルウェアの実行/対話者 IP アドレスの特定などの、TOX メッセンジャーに関する興味深い脆弱性。
  • Tor Network:onionドメインに設置されているサーバーの IP アドレスの取得や、当社サーバーへのルート・アクセス、データベースのダンプ、onionドメインの取得に利用されるあらゆる脆弱性。

LockBitSupp と呼ばれるアフィリエイト・マネージャーの特定に対する $1 million の報酬は、4月の XSS ハッキング・フォーラムで提供されたことがある。

LockBitSupp offering a $1 million bounty to anyone who identifies them
LockBitSupp offering a $1 million bounty to anyone who identifies them
Source: BleepingComputer

ZCash の支払いオプションが登場?

LockBit 3.0 のための、交渉サイトやデータ漏洩サイトの Tor を開くと、訪問者には様々な暗号通貨アイコンが回転するアニメーションのロゴが表示される。このアニメーションに表示されている暗号通貨アイコンは、過去に運営が身代金の支払いとして受け入れた Monero と Bitcoin だが、Zcash と呼ばれるプライバシー・コインも含まれている。

New cryptocurrency animation on LockBit 3.0 sites
Source: BleepingComputer

Zcash が支払いオプションとして追加されたことは、ランサムウェアたちのオペレーションとしては驚くべきことではない。暗号通貨追跡会社と法執行機関の押収により、Bitcoin は追跡可能であることが繰り返し示されており、また、プライバシー・コインである Monero は、米国の暗号取引所の大部分で取り扱われていない。

Zcash もプライバシー・コインであるため、追跡が難しくなっている。そして、現時点においては、最も人気のある米国の暗号取引所である Coinbase で販売されており、被害者が身代金支払いのために購入することが容易になっている。しかし、LockBit が Zcash 支払いに切り替えた場合には、米国政府からの圧力により、米国の取引所から削除されることが予想される。

LockBitが被害者の盗まれたデータを販売?

LeMagIT の Valery Marchive は、LockBit 3.0 オペレーションが新しい恐喝モデルを利用しており、攻撃中に盗み出したデータを、他の驚異アクターが購入できることが発見されている。新しい LockBit 3.0 のデータ漏洩サイトで使用されている、JavaScript ファイルの1つは、サイト上で漏洩したデータを購入することが可能な、新しい HTML モーダル・ダイアログを表示している。

以下に示すように、このモーダルでデータを購入すると、同サイトおよび Torrent 経由でダウンロードするための機能が提供される予定のようだ。利用可能なオプションは、データ・サイズに基づいて決定される可能性があり、大規模なデータ・ダンプには Torrent が、少量のデータには直接のダウンロードが使用される。

JavaScript source showing new data extortion method
JavaScript source showing new data extortion method
Source: BleepingComputer

LockBit 3.0 のデータ流出サイトには、現時点で被害者が存在しないため、この新しい恐喝手法がどのように機能するのか、あるいは有効になっているのかどうかは不明である。

LockBit は、最も活発なランサムウェアの1つであり、その公開オペレータは、他の脅威アクターやサイバーセキュリティ・コミュニティに積極的に関与している。新しい戦術/技術/支払法を採用し続けているため、セキュリティとネットワークの専門家は、この作戦の進化について常に最新の情報を得ることが重要である。

なんというか、すごい展開になっていますね。この記事をさっと眺めるだけでも、とても上手くデザインされたバグバウンティ・プログラムだと思いますし、これを機に LockBit と親しくなる人々が増えそうな気もします。社会の不安定化が、いまの世界のトレンドである限り、ダークサイドへと踏み出していく人が止まらないはずです。よろしければ、LockBit で検索も、ご利用ください。

%d bloggers like this: