LockBit のリークサイトが DDoS 攻撃でダウン:Entrust のデータ漏洩への対抗索か?

LockBit Ransomware Site Hit by DDoS Attack as Hackers Start Leaking Entrust Data

2022/08/23 SecurityWeek — ランサムウェア LockBit のリークサイトが、分散型サービス妨害 (DDoS) 攻撃によりオフラインになった。これは、LockBit が、セキュリティ企業である Entrust から盗んだデータを、公開したことに対抗して行われたと見られている。Entrust の情報漏えいは 6月18日に発見され、同社は 7月6日に顧客への通知を開始した。しかし、この侵害が明るみに出たのは、セキュリティ研究者が Entrust から顧客に送信された通知のコピーを発見した、7月21日のことだった。

当時、一部の研究者たちは、Entrust がランサムウェアの被害に遭った可能性が高いと述べていたが、攻撃者のグループは明かされていなかった。しかし、8月18日に、LockBit グループが名乗りを上げ、Entrust が身代金を支払わない限り、24時間以内に盗まれた全てのファイルを流出させると脅迫した。

そして、LockBit が Entrust データの公開を開始した直後に、彼らの Tor ベースのリークサイトが DDoS 攻撃に見舞われた。 その攻撃リクエストには、LockBit に対して、盗まれた Entrust データを削除するように促す文字列が含まれていた。

LockBit hit by Entrust-linked DDoS attack


Cisco Talos の研究者である Azim Shukuhi によると、LockBit は、1,000 台以上のサーバーから毎秒400件のリクエストを受けたと主張しているという。

この攻撃の首謀者は不明だが、Entrust 自身ではないかとの憶測も出ている。Entrust は、人事/財務/マーケティングなどのシステムの侵害を公表した最初の声明以降、この事件に関する情報を公開していない。同社は、同社の製品/サービスの運用/セキュリティに影響があったという証拠はないとしている。

現時点では、LockBit 3.0 の Web サイトの大半がオフラインになっているようだ。SecurityWeek は一度だけアクセスすることに成功したが、Entrust 専用のページには、LockBit のオペレーターが盗んだデータをアップロードできる、トレント・トラッカーを探しているというメッセージが表示されていた。LockBit は、300GB の情報を入手したと主張している。

研究者の Soufiane Tahiri は、Entrust と LockBit の二者間のチャットと思われるもののコピーを入手した。それによると、LockBit は当初 $8 million の身代金を要求し、その後 $6.8 million に引き下げたが、Entrust は $1 million しか支払う用意がなかったという。

この攻撃を受けて、サイバー犯罪グループ LockBit は、今後の DDoS 攻撃から守るためにインフラの強化に取り組んでおり、Web サイトが破壊されてもデータ流出が可能な代替策を探したいと述べている。さらに、ファイルの暗号化/データ流出/DDoS 攻撃を含む三重の恐喝モデルの一部として、被害者に対して独自の DDoS 攻撃を仕掛ける計画もあるとのことだ。

この件に県に関しては、7月22日の「Entrust にランサムウェア攻撃が発生:ダークウェブでイニシャル・アクセスを取得か?」で第一報を、8月18日の「Entrust 対 LockBit:セキュリティ大手 へのランサムウェア攻撃とリークをめぐる戦い」で第二報を、お伝えしています。この記事では、「LockBit  がデータのリークを開始した直後に、彼らの Tor データリーク・サイトがオフラインになった。LockBit は、Entrust への攻撃が原因で DDoS 攻撃を受けていると主張した」という記述がありましたが、今日の記事では身代金をめぐる交渉も明らかになりました。

%d bloggers like this: