LockBitランサムウェアの活動を複数国が停止、リークサイトなど差し押さえ
(情報源:BleepingComputer – February 19, 2024)
悪名高きランサムウェアグループLockBitの活動が、11か国の法執行機関の参加する合同作戦「Operation Cronos」によって停止させられたとの報道。同グループのデータリークサイトには現在、このサイトが英国の国家犯罪対策庁(NCA)の制御下に置かれていることを伝えるバナーが表示されており、「我々は、Lockbitのサービスが国際法執行機関による措置の結果として停止されたことをここに確証します – これは現在も進行中の作戦です」というメッセージなども記されている。
なおOperation Chronosに関わった当局は、日本時間2月20日20:30に合同プレスリリースを公開する見込みだという。
‼️Lockbitランサムウェアの全Webサイトがユーロポールなど法執行機関により差し押さえられた模様。
「Operation Cronos」と題された作戦で少なくとも22のTorサイトが差し押さえまたはテイクダウンされたとのこと https://t.co/c0CcdjTjvs— Machina Record (@MachinaRecord) February 19, 2024
FBIはPHPエクスプロイトを使用してサーバーを侵害か、LockBit運営者がコメント
LockBitといえば2019年9月から活動するRaaSで、現存するランサムウェアの中でも特に活発に攻撃を行ってきたことで知られる。運営者とされる脅威アクター「LockBitSupp」はメッセージングサービスTox上で情報共有などを行っているが、現在同アクターのアカウントステータス欄には、FBIがPHPエクスプロイトを用いてLockBitのサーバーを侵害したとするメッセージが表示されているという。マルウェア研究者集団Vx-Undergroundは、使われた脆弱性はCVE-2023-3824であるとX(旧Twitter)に投稿している。
「FBIがPHP経由でサーバーを壊しやがった、PHPが使われていないバックアップサーバーは触れられていない」 – LockBitSupp
関連記事
Threat Report
Flashpoint
lockbit
RaaS
LockBitランサムウェア:世界一活発なランサムウェアグループの内幕
2023.08.03
Flashpoint
lockbit
RaaS
アフィリエイトパネルもテイクダウンされる
リークサイトなどに加え、当局はLockBitのアフィリエイトパネルもテイクダウンし、同ランサムウェアのソースコード、チャット内容、被害者情報をも差し押さえたとするメッセージを追加している。このメッセージによれば、英国NCA、米国FBI、ユーロポール、日本の警察庁などから成るOperation Cronosタスクフォースは、各アフィリエイトが攻撃した被害者、要求された身代金額、盗まれたデータ、チャット内容、およびその他たくさんの情報を保有しているという。
同タスクフォースはまた、アフィリエイトらに対し、「この状況についてLockbitsuppと同アクターの脆弱なインフラに感謝するといい…まもなく我々から君たちに連絡がいくかもしれない。良い1日を」という挑発的とも取れるメッセージも残している。
Lockbitのアフィリエイトリストが米政府などにより公開されている模様。IDは計194件あり、ここから"admin"と"teststealergate"6件を引いた「187」が、同ランサムウェアが雇っていたアフィリエイトの合計数と思われる。
"Hideo"(id:181)、"Takashi"(id:185)と日本風の名前も見られる https://t.co/3OFED6H6lS— Machina Record (@MachinaRecord) February 21, 2024