ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

傲慢さがランサムウェアのキングピン LockBit の崩壊に寄与した可能性がある

プラトン再発行
プラトン再発行

日付:

閲覧数: 168

LockBit ランサムウェア作戦は、成功を誇っているにもかかわらず、英国国家犯罪庁 (NCA) 主導の国際法執行活動によってすでに問題に見舞われているようです。 やめて 今週。

削除後に浮上したセキュリティベンダーの報告は、かつては革新的で攻撃的なランサムウェア・アズ・ア・サービス(RaaS)グループが最近、メンバーや関連会社間の反対意見に苦戦しており、犯罪組織内の一部による密告であるとの認識に苦戦しているという実態を浮き彫りにしている。コミュニティ。

修復不可能なダメージ?

多くの人は、法執行機関の活動が、少なくとも現在の形態および LockBit ブランドのもとで、ランサムウェア活動を継続する犯罪組織の能力に取り返しのつかない損害を与えた可能性が高いと認識しています。被害者のシステムに LockBit を配布および展開した数十の独立系関連会社は、他の RaaS プロバイダーを使用して運用を継続する可能性がありますが、LockBit 自体を継続する能力は、現時点では実行不可能と思われます。

「言うのは時期尚早でしょう」とトレンドマイクロの脅威インテリジェンス担当バイスプレジデントであるジョン・クレイ氏は言う。同社はNCAと協力してLockBitの新しい開発バージョンを分析し、その侵害の痕跡を公開している。 「しかし、(ロックビットの)復号化ツール、仮想通貨アカウントの押収、インフラストラクチャの停止などの暴露と共有されたすべての情報により、グループとその関連会社はおそらく効果的な運営を妨げられている。」

NCAのサイバー部門は今週初め、FBI、米国司法省、他国の法執行機関と協力した 深刻な混乱を招いたことを明らかにした LockBit のインフラストラクチャと運用は、「Operation Cronos」と呼ばれる数か月にわたる取り組みの保護下にあります。

この国際的な取り組みの結果、法執行機関が LockBit の主要な管理サーバーを制御し、関連会社による攻撃が可能になりました。グループの主要な漏洩サイト。 LockBit のソースコード。アフィリエイトとその被害者に関する貴重な情報。クロノス作戦タスクフォースのメンバーは、12 時間にわたって、ロックビット関連会社が攻撃に使用していた 28 か国にわたる 1,000 台のサーバーを押収しました。また、StealBit と呼ばれるカスタム LockBit データ抽出ツールをホストしていた 200 台のサーバーも停止させました。被害者が LockBit で暗号化されたデータを回復するのに役立つ可能性がある XNUMX を超える復号キーを回復しました。そしてLockBitに接続された約XNUMXの暗号通貨アカウントを凍結した。

最初の中断は、LockBit 側の op-sec エラー、つまりパッチが適用されていない PHP の脆弱性 (CVE-2023-3824)これにより、法執行機関が LockBit の環境への足掛かりを得ることができました。

15万ドルの報酬

同日、米国司法省も 起訴状を開封した この訴訟では、米国全土の被害者に対するランサムウェア攻撃の罪で、2人のロシア人、ロックビットの多くの関連会社の中で最も著名なバスターロードことイワン・コンドラチェフ氏とアルトゥール・スンガトフ氏を起訴した。同省はまた、ロックビットへの参加に関連した容疑で、ミハイル・ワシリエフ氏とルスラン・アスタミロフ氏という他の2名を現在拘留していることも明らかにした。新たな起訴により、米国政府はこれまでにロックビットの著名なメンバー5人を犯罪シンジケートの活動における役割で起訴したと発表した。

21月XNUMX日、米国国務省は次のようにしてロックビットメンバーに対する圧力を強化した。 総額15万ドルの賞金を発表 グループの主要メンバーとリーダーの逮捕と有罪判決につながる情報を求めて。財務省もこの争いに加わった 制裁を課す これは、LockBit の米国の被害者が今後 LockBit に支払ういかなる支払いも厳密に違法となることを意味します。

削除を実行するにあたり、法執行機関は、操作中に押収したサイト上のロックビットに関連するアフィリエイターやその他の人々に対して、やや嘲笑的なメッセージを残しました。一部のセキュリティ専門家は、このトローリングは他のランサムウェア攻撃者の信頼を揺るがすクロノス作戦による意図的な試みであると見ていました。

その理由の 1 つは、「他の事業者に、LEA が同様の行為であなたのグループを標的にする可能性がある、そして今後も標的にするという警告メッセージを送信するため」であると、脅威インテリジェンス企業 RedSense の主任研究責任者である Yelisey Bohuslavskiy 氏は述べています。 「おそらく、多くのグループが現在、運用上のセキュリティを評価して、すでに侵害されているかどうかを判断しており、運用とインフラストラクチャの安全性を高める方法を見つけ出す必要があるかもしれません。」

これらの行動は、過去 120 年間で数十億ドルの損害を引き起こし、世界中の被害者団体から XNUMX 億 XNUMX 万ドルという驚異的な金を引き出したこのグループに対する法執行機関にとっての当然の成功を表した。この作戦は、過去XNUMX年間で同様の一連の成功が続いており、その中には、 ALPHV/ブラックキャット, ハイブ, ラグナルロッカー, カクボット、広く使用されているランサムウェア ドロッパー。

再構築への挑戦

他のグループも同様の削除を受けて立ち直ったが、LockBit自体が再開するにはさらに大きな課題を抱えている可能性がある。トレンドマイクロは、削除のニュース後のブログで、このグループを次のような特徴を持つグループであると説明しました。 最近苦労した 多くの問題があるため、生き残るために。これらには、2022 年 XNUMX 月に不満を抱いたメンバーによる LockBit ビルダーの盗難とその後の漏洩が含まれており、これにより他の脅威アクターが LockBit コードに基づいてランサムウェアを展開できるようになりました。昨年XNUMX月から始まったロックビットのリークサイトでの新たな被害者やでっちあげの漏洩データに関する一連の明らかに虚偽の主張は、同グループの被害者数についても疑問を引き起こしており、新たな関連会社を攻撃するそのますます熱狂的な取り組みは、周囲に「絶望的な雰囲気」を漂わせている。とトレンドマイクロは述べた。サイバー犯罪者の間で信頼できる RaaS プレイヤーとしての LockBit の評判も、アフィリエイトへの約束通りの支払いを拒否したという噂を受けて傷ついた、とセキュリティベンダーは述べた。

Optiv社の脅威インテリジェンスリーダー、アーミル・カリミ氏によると、1月にロシア企業ANセキュリティ社がLockBitランサムウェアに関与したランサムウェア攻撃を受けて、LockBitの管理チームは最近、信頼性と評判の観点から大きなプレッシャーにさらされているという。

「CIS 諸国に対する攻撃は、ほとんどの RaaS 運用において厳しく禁止されています」とカリミ氏は言います。 「ANセキュリティへの攻撃の結果、彼らは罰金と地下フォーラムからの追放に直面していました。」この事件をめぐるドラマをさらに盛り上げているのは、ライバルグループがロックビットに問題を引き起こすために意図的に攻撃を実行しているという噂だ、と同氏は指摘する。

FSBの密告者?

このため、ライバルグループがロックビットが占有するスペースを引き継ぐ機会は十分にありました。ロックビット社の閉鎖のニュースを受けて、「ライバルグループからは何の反省も見られなかった」と彼は言う。 「LockBit はグループの中で最も多作でしたが、尊敬と評判という点では、愛が失われることはなかったと思います。」

レッドセンスのボフスラフスキー氏は、ロックビットの管理者がロシア対外情報局(FSB)の職員に置き換えられた可能性があるという疑惑も、同グループのイメージを良くしていないと述べた。同氏によると、こうした疑惑の発端は2021年に遡り、当時ロシア政府はREvilやAvaddonなどのランサムウェア運営者に対して一連の行動をとったとみられる。ロックビットの管理者が突然沈黙したのはその頃だった、とボフスラフスキー氏は言う。

「これは主に、[管理者] と直接協力した [初期アクセス ブローカー] によって発見されました」と彼は指摘します。 「8月までに管理者は再び現れ、このときIABがその人物はFSB職員に変更され、代わりになったと言い始めた。」

今週のレッドセンス ブログを公開しました 作戦メンバーとの会話に基づいた、LockBit の 3 年間の調査結果をまとめたものです。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.