LockBit の被害総額が $91M に達した:CISA/FBI/MS-ISAC などが共同勧告

CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks

2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国/英国/オーストラリア/カナダ/ドイツ/フランス/ニュージーランドなどの、それぞれの当局が述べている。


2022年に MS-ISAC が受け取った報告によると、政府/州/地方/部族/裁判所 (SLTT:State, Local, Tribal, and Tribunal) に影響を与えたランサムウェア・インシデントの、約 16%が LockBit 攻撃だったという。

これらのインシデントにおいて、LockBit オペレーターの標的となったのは、自治体/郡政府/公立高等教育機関/K-12 学校/法執行機関などの、停止できないサービスだった。

共同アドバイザリは、「LockBit は、2022年において世界で最も活発だったランサムウェア亜種であり、2023年も引き続き多発している。LockBit のアフィリエイターは 2020年1月以降も、金融サービス/食品/農業/教育/エネルギー/政府・緊急サービス/ヘルスケア/製造/輸送などの重要インフラ分野の、さまざまな規模の組織を攻撃している」と警告している。

CISA LockBit Tweet

6月14日のアドバイザリには、約 30件のフリーウェア/オープンソース・ツールのリストに加えて、LockBit アフィリエイターが攻撃に使用した、40以上の TTP (Tactics, Techniques, and Procedures) に関する詳細な MITRE ATT&CK マッピングが含まれている。

CISA が公開したのは、LockBit が悪用する CVE や、このグループの存在が初めて確認された 2019年9月以降において、オペレーションを進化させてきた軌跡に関する、詳細な調査結果である。

また、この共同アドバイザリでは、組織を標的とした LockBit の活動を阻止するために、防御者に対して推奨される緩和策も提供されている。

6月14日に、FBI サイバー部門の Assistant Director である Bryan Vorndran は、「FBI は、LockBit を使用する脅威アクターからの攻撃に対して、防御を強化する全ての組織が、この CSA を確認し、提供される緩和策を実施するよう推奨する。サイバー犯罪の被害に遭ったと思われる場合には、最寄りの FBI 支部に連絡してほしい」とコメントしている。

LockBit ランサムウェアは、2019年9月に RaaS (Ransomware-as-a-service) オペレーションとして登場したが、サイバー犯罪フォーラムでの活動がシャットダウンされたことを受け、2021年6月に LockBit 2.0 RaaSとして再登場している。

FBI は、2022年2月の Flash Alert で LockBit の IoC (Indicators of Compromise) を共有しており、LockBit の攻撃を認識した被害者は、直ちに報告するよう勧告している。

LockBit 2.0 が登場した数カ月後には LockBit 3.0 へと移行し、Zcash 暗号通貨による支払いオプション/革新的な強要戦術/初のランサムウェア・バグバウンティ・プログラムといった、注目すべきアップグレードを行っている。

それ以降の LockBit は、自動車大手の Continental/イタリア内国歳入庁/英国の Royal Mail/オークランド市などの、世界中の大規模な組織を攻撃し続けている。

このところ、GoAnywhereMOVEit を狙う Clop に注目が集まっていますが、その影に隠れながらも、しっかりと稼いでいる LockBit ですね。2023/03/17 の「FBI/CISA/MS-ISAC の共同勧告:ランサムウェア LockBit 3.0 攻撃について」でも、この三者による共同勧告が紹介されていますが、Understanding Ransomware Threat Actors: LockBit という PDF レポートが、6月14日付で公開されたようです。それを受けての、今日の記事なのだと思います。