国際捜査作戦Operation Cronos:LockBitテイクダウン&2名を逮捕、復号ツールもリリース
(情報源:The Hacker News、BleepingComputer、National Crime Agency、Europol)
日本時間20日早朝、LockBitランサムウェアグループのリークサイトに法執行機関による差し押さえバナーが表示され、同グループの活動が停止されたことが報じられた。これに関して同日20:30、今回の国際共同捜査作戦「Operation Cronos」を主導した英国の国家犯罪対策庁(NCA)などが公式声明を発表。テイクダウンの実施について正式に認めるとともに、主に以下のような事実を新たに明かしている。
- LockBitのオペレーターとされる容疑者2名がそれぞれポーランドとウクライナで逮捕された
- 当局は、差し押さえたLockBitのサーバーから1,000件以上の復号鍵を取り出し、これらを用いてLockbit 3.0向けの復号ツールを開発した
- LockBitグループに関連する暗号資産ウォレット200件超が差し押さえられた
テイクダウンの概要
サーバーのテイクダウン
英NCA率いる国際捜査タスクフォースOperation Cronosは、2022年4月にフランス当局の要請を受けてLockBitに関する捜査を開始。数か月に及ぶ捜査作戦の末、同ランサムウェアの主要プラットフォームおよびその他の重要インフラを侵害することに成功したという。これにより、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、米国、英国に所在していた34台のサーバーがテイクダウンされている。また、LockBitのアフィリエイトがデータ窃取のために用いていたカスタムツール「Stealbit」のインフラも差し押さえられたとされる。
リークサイトなども当局の制御下に
NCAによれば、同庁はLockBitの主要な管理環境(アフィリエイトの攻撃準備・実行をサポートしていたシステム)および同グループのダークウェブリークサイトを制御下に置いたという。このリークサイトは被害組織の恐喝やデータリークに使われていたものだが、現在このサイトには、LockBitの能力や活動を暴き出すような情報が当局により掲載されている。ただし、当局が掴んだ情報は現時点でまだすべて公開されているわけではなく、今後1週間にわたって日々更新される予定だという。なお当局はソースコードや被害組織の詳細、恐喝により奪われた金額、盗まれたデータの詳細、チャット内容などを含む大量の情報を入手したと述べており、そうした情報がリークサイト上で公開されるものとみられる。
#LockBit pic.twitter.com/y0vb4XCCTA
— Brett Callow (@BrettCallow) February 20, 2024
身代金を支払ってもデータは削除されない?
NCAは、当局がLockBitのシステムから入手したデータの中には、すでに身代金支払いを終えていた被害組織のデータまでもが含まれていたと報告。これを踏まえ、「たとえ身代金が支払われても、(盗まれた)データが削除されるという保証はない」という事実が明確になったと指摘している。
オペレーターとされる容疑者の逮捕
20日夜のプレスリリースでは、Operation Cronos作戦の一環としてLockBitのアクター2名がそれぞれポーランド、ウクライナで逮捕され、同グループに関連する暗号資産ウォレット200件超が凍結されたことも明かされている。これらのウォレットに保管されていた暗号資産の総額は不明だが、被害組織によっては支払ってしまった身代金の一部を取り戻すことができる可能性が出てきた。
上記に加えてフランスと米国の司法当局も、別のLockBit関係者に対して3件の国際逮捕状と5件の起訴状を発行しているという。このうち米司法省による2件の起訴状は、LockBitを使った攻撃に関与したとされるロシア人Artur SungatovとIvan Gennadievich Kondratievを対象とするもので、両名は新たに米財務省外国資産管理局による制裁の対象にもなった。
復号ツール開発には日本の警察庁も協力
Operation Cronosの一環として、捜査当局はLockBitのサーバーから1,000件を超える復号鍵を入手。日本の警察庁、NCA、米FBIはユーロポールのサポートのもと、これらの鍵を利用してLockBit 3.0(別名LockBit Black)の復号ツールを開発することに成功したという。この無料復号ツールは現在ポータルサイト「No More Ransom」で使用できるようになっている。BleepingComputerは、このツールがある一定の日付以降に攻撃を受けた被害者にしか有効でないのではないかとユーロポールに問い合わせたが、返答はまだ得られていないとしている。
関連記事
Threat Report
Flashpoint
lockbit
RaaS
LockBitランサムウェア:世界一活発なランサムウェアグループの内幕
2023.08.03
Flashpoint
lockbit
RaaS
今後の展開は?
- 前述の通り、現在NCAが制御している旧リークサイトでは、今後1週間の間毎日新たな情報が公開されていく見込み。中でも注目されるのが、LockBitの運営者とされるアクター「LockBitSupp」の身元に関する情報。以下のツイートにある通り、旧リークサイトには「Who is LockBitSupp?」と題されたセクションが表示されており、詳細は日本時間2024年02月23日(金)16:00に公開予定とされている。
It seems the Cronos team plan to release the identity of LockbitSupp on 2024-02-23 at 07:00:00 UTC. pic.twitter.com/4DbhuXM5c5
— Brett Callow (@BrettCallow) February 20, 2024
- テイクダウンされたり活動を停止したりしたランサムウェアグループが名前を変えて復活するケースが過去に見られたように、LockBitも今後建て直しを図るかもしれない。しかしNCAの長官は、「我々の仕事はここで終わりません。LockBitは犯罪事業を再建しようとする可能性があります。しかし、我々は彼らが何者であり、どのように活動しているかをわかっています。私たちは粘り強く、このグループとその関係者全員を標的にする取り組みを止めません」と述べている。
- LockBitは現存するランサムウェアグループの中でも特に活動量が多く、存在感も群を抜いていた。このため同グループの活動が停止することで、脅威ランドスケープには大きな変動がもたらされるものと考えられる。引き続き、別のランサムウェアグループや脅威アクターたちの動きに注目しておきたい。