LockBitランサムウェアの活動を複数国が停止、リークサイトなど差し押さえ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > LockBitランサムウェアの活動を複数国が停止、リークサイトなど差し押さえ

Threat Report

Silobreaker-CyberAlert

LockBitランサムウェアの活動を複数国が停止、リークサイトなど差し押さえ

佐々山 Tacos

佐々山 Tacos

2024.02.20

LockBitランサムウェアの活動を複数国が停止、リークサイトなど差し押さえ

(情報源:BleepingComputer – February 19, 2024

悪名高きランサムウェアグループLockBitの活動が、11か国の法執行機関の参加する合同作戦「Operation Cronos」によって停止させられたとの報道。同グループのデータリークサイトには現在、このサイトが英国の国家犯罪対策庁(NCA)の制御下に置かれていることを伝えるバナーが表示されており、「我々は、Lockbitのサービスが国際法執行機関による措置の結果として停止されたことをここに確証します – これは現在も進行中の作戦です」というメッセージなども記されている。

なおOperation Chronosに関わった当局は、日本時間2月20日20:30に合同プレスリリースを公開する見込みだという。

FBIはPHPエクスプロイトを使用してサーバーを侵害か、LockBit運営者がコメント

LockBitといえば2019年9月から活動するRaaSで、現存するランサムウェアの中でも特に活発に攻撃を行ってきたことで知られる。運営者とされる脅威アクター「LockBitSupp」はメッセージングサービスTox上で情報共有などを行っているが、現在同アクターのアカウントステータス欄には、FBIがPHPエクスプロイトを用いてLockBitのサーバーを侵害したとするメッセージが表示されているという。マルウェア研究者集団Vx-Undergroundは、使われた脆弱性はCVE-2023-3824であるとX(旧Twitter)に投稿している。

「FBIがPHP経由でサーバーを壊しやがった、PHPが使われていないバックアップサーバーは触れられていない」 – LockBitSupp

アフィリエイトパネルもテイクダウンされる

リークサイトなどに加え、当局はLockBitのアフィリエイトパネルもテイクダウンし、同ランサムウェアのソースコード、チャット内容、被害者情報をも差し押さえたとするメッセージを追加している。このメッセージによれば、英国NCA、米国FBI、ユーロポール、日本の警察庁などから成るOperation Cronosタスクフォースは、各アフィリエイトが攻撃した被害者、要求された身代金額、盗まれたデータ、チャット内容、およびその他たくさんの情報を保有しているという。

同タスクフォースはまた、アフィリエイトらに対し、「この状況についてLockbitsuppと同アクターの脆弱なインフラに感謝するといい…まもなく我々から君たちに連絡がいくかもしれない。良い1日を」という挑発的とも取れるメッセージも残している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ