LockBit ランサムウェア:世界の法執行機関によりテイクダウン

Global Law Enforcement Disrupts LockBit Ransomware Gang

2024/02/21 DarkReading — FBI などの世界的な法執行機関は、凶悪なランサムウェア・グループである LockBit の活動を妨害し、そのプラットフォームを掌握し、世界的な RaaS (Ransomware-as-a-Service) 運営に関連するデータの押収に成功した。アフィリエイトたちの LockBit のコントロール・パネルに表示された、当局からのメッセージによると、Operation Cronos と呼ばれる作戦で押収されたものには、ソースコード/ランサムウェア被害者の詳細/盗まれたデータ/復号化キー/LockBit とアフィリエイトが要求した金額などの情報が含まれるという。

マルウェアに関するソースコード/サンプル/論文などのオンライン・リポジトリである Vx-Underground の X (旧 Twitter) アカウントに、以下のスクリーンショットが投稿された 2月19日に、この出来ごとが初めて明らかになった。


今回の押収により “Lockbitsupp [sic] and its flawed infrastructure“ というメッセージが発せられたが、そこには FBI/NCA (National Crime Agency)/Europol/Operation Cronos Law Enforcement Task Force などの署名が記されている。

<訳者注:Lockbitsupp は Lockbit の Admin>

その後の 2月21日に、NCA のプレス・リリースで公表されたのは、LockBit の主要な管理環境と、ダークウェブ上の公開リーク・サイトの掌握である。LockBit のアフィリエイトたちは、LockBit の管理環境を使用して攻撃を構築/実行し、被害者から盗んだデータを公開するためにリーク・サイトを使用していた。

NCA のリリースには、「当局に掌握された LockBit のサイトには、LockBit の機能や手口を公開する一連の情報が掲載されることになった。NCA は、今週の間は毎日これを更新する予定だ」と記されている。

また NSA は、当局は LockBit のプラットフォームのソースコードと、彼らの活動や協力者に関する膨大な量のインテリジェンスを、それらのシステムから押収したとしている。また、1000件の LockBit 復号鍵を入手した各当局は、被害者と連絡を取り、そのデータを回復できるよう支援する予定だという。

LockBit の “脆弱性” が利用された

“LockBitSupp” とは、LockBit の運営を行う脅威アクター/技術サポートサービスであり、メッセージング・サービス Tor を介してアフィリエイトたちと連絡を取り合っていたという。公開されたレポートによると、当局が PHP エクスプロイトを使って、このランサムウェアのサーバに侵入したというメッセージが、このサービス上の LockBitSupp のアカウント・ステータスに表示されているという。

Vx Underground によると、LockBit への侵害には、PHPの 脆弱性 CVE-2023-3824 が使用されたという。この脆弱性は、PHP 8.0.30 未満の 8.0/8.1.22 未満の 8.1/8.2.8 未満の 8.2 に存在するものだ。

この脆弱なバージョンにおいて、PHAR ファイルをロードしている最中に、PHAR ディレクトリ・エントリが読み込まれると、長さのチェックが不十分となり、スタックバッファ・オーバーフローが発生し、メモリ破壊または RCE につながる可能性があると、NIST の NVD エントリーに記載されている。

NCA は、LockBit のシステムに侵入した方式については公開していない。そして、この技術的な侵入と破壊について、LockBit とアフィリエイトに対する、一連の行動の始まりに過ぎないと述べている。この取り組みの一環としてユーロポールは、ポーランドとウクライナで2人の LockBit 関係者を逮捕し、同グループに関連する 200 以上の暗号通貨口座を凍結した。

法執行機関が狙う RaaS

LockBit は、間違いなく世界最大の RaaS 事業であり、2019年に初めて登場して以来、カスタム・マルウェア・ツールとサイバー犯罪アフィリエイトのネットワークを通じて、ユーザー組織を侵害し、データを窃取してきた。このグループは、2020年〜2023年6月までの間に、米国の組織に対して 1,700 件のサイバー攻撃を実行し、約 $91 M を脅し取ってきた。

初期の LockBit は中小企業を標的にしてきたが、このグループは徐々に力をつけ、より大規模で認知度の高い組織を標的にするようになった。最近になって、同グループの標的となったのは、航空メーカーの Boeing/サンドイッチ・メーカーの Subway/Hyundai Motor Europe/Bank of America などである。

その規模と活動範囲から、 LockBit は長い間にわたって、世界中の法的機関から目をつけられており、Operation Cronos 以前にも何人かの犯罪者が逮捕されていた。

2023年6月に米司法省は、ロシア国籍の Ruslan Magomedovich Astamirov を逮捕/起訴したが、この犯人は 2020年8月〜2022年3月に、少なくとも5件の攻撃で LockBit のアフィリエイトとして活動したという。Astamirov は、 LockBit のグローバル・ランサムウェア・キャンペーンに関連して、省が起訴した3人目の被告であり、逮捕された2人目の被告である。

今回の法執行機関による措置により、同グループの攻撃ペースは、確実に減速していくだろう。しかし、LockBit とアフィリエイトたちが、ランサムウェア活動を完全に停止することなないだろうと、専門家たちは考えている。この見解は、BlackCat/AlphaV および Cl0p ギャングの解体後の復活で裏付けられている。

セキュリティ企業 Semperis リサーチ部門の Senior Director である Yossi Rachman は、「やがて彼らは、おそらくは別の名前で復活するだろう。これまでのメンバーが、他の成功したギャングに加わる可能性および、新たなグループを立ち上げる可能性が高い。だからこそ、ユーザー組織にとって重要なのは、このグループによる侵害を避けるための警戒を怠らないことだ」と、Dark Reading へのメールで述べている。

これを受けた CISA (Cybersecurity Infrastructure and Security) は、同グループのランサムウェアの侵害の指標 (IOCs:Indicators of Compromise) のリストと、侵害のリスクを軽減するための一連の緩和策を、2月初めに Web サイトで公開した。

同機関は推奨事項として、パスワードによるログインが可能な全アカウントにおいて、パスワードを再利用しないよう警告している。また、敵対者がアクセス可能なシステムへのパスワード保存を禁止と、強固でユニークなパスワードの要求なども重要だとしている。

さらに、すべてのサービスにおいて、特に Web メール/VPN (Virtual Private Networks) などの重要システムなどにアクセスするアカウントにおいて、多要素認証 (MFA:multifactor authentication) の使用を義務付けるべきだと指摘している。

その一方で CISA が推奨するのは、すべてのオペレーティング・システムとソフトウェアを最新の状態に保ち、悪用されている既知の脆弱性に対して、優先的にパッチを適用することだ。さらに、管理者共有に対する不要なアクセスの削除や、権限の制限により、ランサムウェアによる企業システムへの不正アクセスを阻止できる。

同機関は、下記の方法も推奨している:

  • 限られた管理者マシンからのみ、SMB (Server Message Block) を経由した管理共有への接続のみを許可する、ホストベースのファイアウォールの導入
  • Windows OS で保護ファイルを有効化し、重要なファイルへの不正な変更を防止する

PHPの 脆弱性 CVE-2023-3824 を侵入口として、Lockbit がテイクダウンという、とても喜ばしいニュースですが、このサイバー犯罪に携わってきた人々が、ノウハウを手にして散らばっていくと、新たな犯罪集団が増えることになります。よろしければ、2022/05/19 の「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」をご参照ください。また、Lockbit で検索も、ご利用ください。