LockBit の DDoS 宣言:防御力を高めて攻撃にも活用する三重恐喝の戦略とは?

LockBit ransomware gang gets aggressive with triple-extortion tactic

2022/08/28 BleepingComputer — ランサムウェア・ギャング LockBit は、分散型サービス拒否 (DDoS) 攻撃に対する防御を強化し、三重恐喝のレベルにまで、攻撃力を高めると発表した。先日に LockBit は、デジタル・セキュリティ大手 Entrust の代理人が行ったと噂される DDoS 攻撃を受け、リークサイトで公開したデータへのアクセスが不能になるという状況に陥った。

BleepingComputer の情報筋によると、この Entrust のデータとは、6月18日の LockBit 攻撃で盗み出されたものとのことだ。同社は、このインシデントと、データ侵害について、認めている。

Entrust が身代金の支払いに応じなかったことで 、すべての盗み出したデータを 8月19日に公開すると、LockBit は発表した。しかし、同ギャングのリークサイトが Entrust に関連すると思われる DDoS 攻撃を受けたことで、この公表は実現しなかった。

DDoS に巻き込まれる LockBit

今週の初めに、LockBit ランサムウェアの広報を担う LockBitSupp は、同グループが DDoS 攻撃にも動じないリークへを実現するため、より大規模なインフラを確保した上で、ビジネスを再開したと発表した。

先週末の DDo S攻撃により、Entrust に関するデータ流出が一時的に停止した。それは、身代金支払いにおいて被害者に更なる圧力をかける、三重恐喝の戦術を探る機会と見なされている。LockBitSupp によると、ランサムウェア・オペレーターは、データの暗号化と流出に加え、強要戦術としての DDoS を追加しようとしているとのことだ。

LockBitSupp はハッカー・フォーラムで、「私は、チームに加えるべき dudosers (DDoSer) を探している。我々がターゲットを攻撃する際に、暗号化 + リーク + DDoS の三重恐喝を実施していく可能性が、現時点では最も高くなっている。DDoS のパワーと、その活性化により、面白くなると感じている」と述べている。

Entrust のデータ流出

また LockBit は、Entrust から盗み出した 300GB のデータを torrent で共有し、「全世界が貴社の秘密を知ることになる」と公言している。LockBit の広報担当者は、Entrus tのデータリークを torrent で実現する前に、連絡をくれた人には内密に共有するとも述べている。LockBit は、その約束を守ったようであり、今週末に 343GB のファイルを含む “entrust.com” という torrent をリリースした。

LockBit ransomware shares Entrust data over torrent
Lockbit ransomware leaks Entrust data
source: Artie Yamamoto

LockBit オペレーターは、Entrust のデータを複数のソースから入手可能にするために、同サイトで公開するほか、少なくとも2つのファイル・ストレージサービス上で torrent を共有するとしているが、そのうちの1つは、すでに非公開になっているとのことだ。

DDoS への防御

さらなる DDoS 攻撃を防ぐために、すでに LockBit が実施している方法としては、被害者への身代金請求書において、ユニークなリンクを使用することが挙げられる。LockBitSupp は、「LockBit ノートにおいて、すでにリンクのランダム化機能は実装されており、それぞれのビルドは、dudoser (DDoSer) が認識できない、ユニークなリンクを持つことになる」と投稿している。

また、ミラー/リプリケーション・サーバの数を増やし、クリアネット上でも防弾ストレージサービスを介してアクセス可能にすることで、盗まれたデータの可用性を高める計画も発表された。

LockBit ransomware goes for stronger infrastructure
Lockbit ransomware changes after suffering DDoS attack
source: BleepingComputer

LockBit ランサムウェアは、2019年9月からの3年間において、活発に動き続けてきた。この記事の執筆時点では、LockBit のデータ流出サイトは稼働している。このランサムウェア・ギャングは、700件以上の被害者をリストアップしており、Entrust もその1つである。そして、8月27日に同社のデータは流出した。

事の発端から時系列に並べると、2022年7月22日の「Entrust にランサムウェア攻撃が発生:ダークウェブでイニシャル・アクセスを取得か?」で始まり、8月18日の「Entrust 対 LockBit:セキュリティ大手 へのランサムウェア攻撃とリークをめぐる戦い」があり、8月23日の「LockBit のリークサイトが DDoS 攻撃でダウン:Entrust のデータ漏洩への対抗索か?」にいたるという順になります。そして、怒り狂った LockBit が、うちも DDoS だと言い出してしまいました。LockBit への DDoS 攻撃の背後に、誰が居たのかは不明ですが、形をかえて Entrust のデータがリークされてしまうのなら、あまり意味のなかったことになります。