LockBitランサムウェアが復活、新リークサイトに5つの被害組織を掲載

LockBitランサムウェアが復活、新アドレスのリークサイトに5つの被害組織を掲載

（情報源：BleepingComputer、vx-underground）

2月19日の法執行機関によるテイクダウンを経て、LockBitランサムウェアグループが新たなインフラで活動を再開したとの報道。24日に同グループは声明を発表して当局によるハッキングの詳細などについて伝え、ランサムウェアビジネスの再開を宣言した。またリークサイトは新たな.onionアドレスへと移行されており、現時点でサイト上には5つの被害者組織とFBIの名が記されている。

LockBitの声明：要点

FBIによるハッキングを許した原因について

• LockBitは生命の中で、FBI（同グループは便宜上、各国の法執行機関をまとめて「FBI」と呼称）がメインサーバー2つを侵害できたのは「唸るほど金がある状態が5年続いた」ことで自らが「非常に怠惰」になったためだと語っている。
• 具体的には、サーバーに使われているPHPのアップデートを怠り、バージョンがPHP 8.1.2のままだったことで、脆弱性を突いたハッキングが可能になったとされる。
• 使われた脆弱性はCVE-2023-3824だと思われるが、似たような別のゼロデイ脆弱性であった可能性も否定できないという。

FBIがLockBitのインフラを標的にした理由について

• LockBitは、1月に発生した米国ジョージア州フルトン郡への攻撃で同ランサムウェアが使用されたことが、FBIを今回の措置へと駆り立てた理由であると推測している。
• この攻撃で盗まれた文書にはドナルド・トランプ氏の裁判に関する情報などが含まれており、これが来る米国大統領選挙に影響し得る内容であったとされる。この文書がリークされるのを防ぐためにハッキングが行われたのではないか、とLockBitは考えているという。

インフラのセキュリティ向上について

• LockBitは、インフラのセキュリティをアップグレードし、復号ツールのリリースと試用ファイルの復号を手動で行うように変更する予定。また、アフィリエイトパネルを複数のサーバーでホストし、パートナー（アフィリエイト）に対し、各自の信頼レベルに応じて異なるコピーへのアクセスを提供することを予定しているという。
• パネルを分離して分散化を強化し、自動モードでの試用ファイル復号を無効化し、また各被害者用の復号ツールを最大限に保護することにより、ハッキングされる可能性は大幅に減少するだろうとLockBitは述べている。

LockBitの声明：日本語訳

LockBitが24日に公開した声明文の日本語訳ほぼ全文（サーバーのアドレスやonionサイトのリンクなど、一部については記載を省略）：

何が起こったのか。

 

2024年2月19日、私のサーバー2台にペネトレーションテストが行われた。UTC（協定世界時）6時39分、サイトに「502 Bad Gateway」というエラーが表示された。nginxを再起動する。変化なし。mysqlを再起動する。何も変わらない。PHPを再起動、サイトが動いた。エラーのことはそれほど気にしなかった。というのも、カネまみれの5年間でひどく怠惰になっていたからだ。その後も美女に囲まれてクルージングを続けた。同20時47分、サイトに新しいエラー「404 Not Found nginx」が表示された。SSH経由でサーバーに入ろうとしたが入れない。パスワードが一致しなかった。後でわかったことだが、ディスク上のすべての情報が消去されていた。

 

自分のだらしなさ、いい加減さが原因で、しかるべきタイミングにPHPをアップデートしていなかった。サーバーにはPHP 8.1.2がインストールされており、このCVE（https://www.cvedetails.com/cve/CVE-2023-3824/）によってペネトレーションテストが成功した可能性が高い。結果として、このバージョンのPHPがインストールされていた2つのメインサーバーにアクセスを許した。 このCVEではなく、PHPのゼロデイなどほかの何かの可能性もあるが、100％の確証はない。とにかく、私のサーバーにインストールされたバージョンには既知の脆弱性があることが知られているので、犠牲となった管理画面、そしてチャットパネルとブログのサーバーは、そのようにしてアクセスされたと考えていいだろう。新しいサーバーは現在、PHP 8.3.3の最新バージョンで動いている。もし誰かがこのバージョンのCVEを見つけたら、まず私に知らせてもらいたい。相応の報酬をお渡ししよう。

 

この問題の影響が及ぶのは私だけではない。脆弱なバージョンのPHPを使っている人は、自身のサーバーが危険にさらされる可能性があることを覚えておいたほうがいいだろう。多くの競合グループが同じようにハッキングされているのではないかと思うが、彼らはどうやってやられたのかさえわかっていなかったはずだ。私が知っている複数のフォーラムも、PHPを介して同じようにハッキングされたに違いない。そう信じるに足る理由がある。私がハッキングされたからだけでなく、内部の密告者から情報が流れているのだから。私がPHPの問題に気づいたのは偶然だった。そして、サーバーが異なる分散型インフラを所有しているのは私だけなので、今回の攻撃がどのようにして起こったのかをすぐに把握することができた。PHPが入っていないバックアップサーバーを持っていなければ、今回のハッキングがどうして起こったのかを突き止めることはできなかっただろう。

 

FBIがハッキングする決断を下した理由はただひとつ。https://fultoncountyga.gov/から情報をリークされたくなかったからだ。盗まれた文書には興味深いことがたくさん書かれていて、次のアメリカ大統領選挙に影響を与えるかもしれないドナルド・トランプの裁判に関する情報も含まれている。メキシコとの国境にまつわる状況はある種の悪夢だからこそ、私ならトランプに票を投じるね。操り人形のバイデンは身を引くべきだ。もしFBIの攻撃がなければ、これらの文書は同じ日のうちに公開されていただろう。交渉が行き詰まっていて、パートナーがプレスリリースをブログに掲載した直後だったから。この街のすべてのシステムが機能不全に陥った真の理由について、FBIはどうしても世間に知られたくなかったのだ。選挙が控えている状況でなければ、FBIは私と仲間たちを逮捕する手がかりを得るため、私のサーバーに居座り続けていただろう。いずれにせよ、逮捕を逃れるために必要なのは、質の高い暗号資産ロンダリングだけだ。FBIは我々のリソースを監視し、FBIにとって有益な情報を集めることができるが、ハッキングされたことを全世界に公表してはならない。 なぜなら、それが相手にとって致命的なダメージになるわけではなく、逆に利益にしかならないからだ。この状況からどのような結論が導き出されるだろうか？ 非常に明快だ。私は.govセクター（政府部門）をもっと頻繁に、より多く攻撃する必要性を感じている。そしてそのような攻撃の後、FBIは自らの弱点や脆弱性を私にさらけ出し、私をさらに強くすることを余儀なくされるだろう。.govセクターを攻撃することで、FBIが我々を攻撃する能力を持っているかどうかを正確に知ることができる。

 

これを読んだ後でPHPのバージョンを更新したとしても、それだけでは十分ではない。なぜならホストやサーバー、利用可能なすべてのパスワード、データベース内のユーザーパスワードを変更した上で、ソースコードを監査し、すべてを移行しなければならないし、サーバーが強化されていないという保証はない。相手のサーバーに再びハッキングできるだけの情報をすでに入手しているFBIが、そのサーバーのゼロデイを知らないという保証もない。つまり、すべてを変えることしか役に立たないのだ。

 

ブログのバックアップを入れてあって、PHPがインストールされていないほかのすべてのサーバーは影響を受けなかったので、攻撃を受けた企業から盗まれたデータを今後も提供し続ける。

 

私のサーバーをハッキングした結果、FBIはデータベース、Webパネルのソース、ソースではないと主張するロッカーのスタブ、保護されていない復号キーを一部押収した。復号キーの数は1,000個と主張しているが、サーバー上にあった復号キーは約2万個。しかもその多くは保護されており、FBIが使うことはできないものだ。このデータベースのおかげで、彼らは生成されたパートナーのニックネームや消去されていなかった被害組織とのチャット、そしてチャットを基にウォレットとカネを発見した。しかしこのニックネームは、フォーラムやメッセンジャーで実際に使っているニックネームとは何の関係もない。後者についても、暗号資産のロンダリングに関与していない人々の捜査や調査に使われるのだろう。そしておそらく、こういった人たちはロンダリングに関わったとして逮捕され、事実に反するにもかかわらず、私のパートナーとして罪を問われるのだろう。これらの情報はすべて何の価値もない。なぜならパネルをハッキングしなくても、保険エージェントや交渉人が取引をするたびに、こういった情報はすべてFBIに渡っているからだ。

 

価値があって、潜在的な脅威となり得るのはパネルのソースコードしかない。パネルに誰でも入れるようになれば、将来的にハッキングされる可能性があるからだ。しかし今後は、全員で1つのパネルを使えるようにするのではなく、検証済みのパートナー用と無作為に選び出した人用にパネルを複数のサーバーに分散し、個別のサーバー上で使えるパネルをパートナー1人につき1つまでとする。パネルの分離化と分散化を進め、自動モードでの試用ファイル復号を無効化し、各企業の復号キーを最大限に保護することで、ハッキングされる可能性は大幅に減少するはずだ。パネルのソースコードのリークは競合グループでも起こっていることだが、それぞれの仕事が妨害されることはなかったし、私を止めることもできない。

 

FBIは約1,000個の復号キーを押収したと発表している。なかなかの数だが、これは本当のこととは思えない。確かに、奴らは保護されていない復号キーを手に入れた。これらのロッカーのビルドは「復号キーを最大限に保護」のチェックボックスなしに作成されたもので、FBIが入手できるのは過去30日間のものだけ。FBIがサーバーにアクセスした日付は不明でも、CVEの公開日とPHPでエラーが発生した日付はこちらで正確にわかっている。2月19日以前、攻撃を受けた企業は保護されていない復号キーにさえ定期的に身代金を支払っていたので、FBIがサーバーに入ったのは1日だけであった可能性がある。FBIには、ハッタリをかましたり自分たちの優秀さ（つまり公開CVEで侵入を成功させた賢いペンテスターの優秀さということだが）を誇示するのではなく、いっそすべての復号キーを公にしてもらいたい。そうすれば、奴らが本当に復号キーを手に入れたということを信じられるようになるだろう。保護されていない復号キーの大部分は、ブルートフォース専任で暗号化を行い、別個のコンピューターにスパムを送り込んで2,000ドルの身代金を要求するようなパートナーから得たものであることにも注目したい。仮にFBIが1,000個の復号キーを入手したとしても、そのほとんどが大して役に立たないのだ。重要なのは、5年間のオペレーション全体で約4万個にも及ぶ復号キーをすべて入手したわけではないということ。つまり、FBIに渡った復号キーは全体の2.5％に過ぎず、残念なことではあっても致命的ではない。

 

FBIに尻を蹴飛ばされたこの有意義な瞬間から、私は怠け心を改め、ロッカーのビルドをひとつ残らず最大限に保護するために万全を期すことにした。これからは、自動での試用ファイル復号はなくなり、復号キーの発行とともに試用ファイルはすべて手動モードでのみ実行されるようになる予定だ。したがって次に起こり得る攻撃で、FBIは復号キーを1個たりともただで手に入れることはできなくなる。

 

おそらく皆さんはお気づきだと思うが、FBIがこのブログのデザインをどれだけ美しいものに変えてくれたのか。これほどの栄誉を授かった者は過去に誰ひとりとしていない。テイクダウンされたサイトにはたいてい、世界各国のあらゆる当局を賞賛するような文句が入った例のバナーが掲載されるだけだからな。実際、この地球上で称賛に値するのはたった1人。公開済みのCVEから適切なものを見つけ出し、私のサイトをハッキングした人だけだ。しかし、この人にはどれだけの報酬、ボーナスが支払われたのだろうか？ もし100万ドルにも満たなかったのなら、ぜひ私のもとで働いてもらいたい。私と手を組めば、おそらく今まで以上に稼ぐことができるだろう。あるいは、toxの「XXXX」（記載を省略）宛に連絡を待っている。私が常にアクティブなバウンティプログラムを開催していること、バグ探しに報奨金を支払っていることをお忘れなく。FBIがあなたの才能を評価していなくても、私はそうじゃないし、カネを出し渋ることもない。

 

alphaやrevil、hiveのブログは、なぜあまり美しいデザインにならなかったのか？ 彼らの正体が明かされなかったのはなぜなのか？ FBIは彼らの身元を知っているはずなのに？ おかしくないだろうか？ FBIはこのような馬鹿げた方法で私を脅し、仕事を妨害しようとしている。FBIのデザイナーは私のために働くべきだ。あなたのセンスはかなりのものだし、私も新しいプリローダーが特に気に入っているよ。新しいアップデートでは、私も同じことを行うべきだと思っている。私のロゴを取り囲むように米国、英国、ヨーロッパを配置しよう。素晴らしいアイデアだね。最高の気分にしてくれて感謝している。

 

私のパートナー複数人が逮捕されたとのことだが、正直なところそれが事実だとは思えない。彼らはおそらく暗号資産をロンダリングしているだけの者たちで、わずかな報酬をもらいながらミキサーや交換業者で働いていたのだろう。だから彼らは逮捕され、私のパートナーだとみなされた。彼らが逮捕される瞬間の動画を観るのは興味深いことかもしれない。逮捕現場となった彼らの家には我々の活動に関与した証拠となるランボルギーニやラップトップがあるが、私は何となく、我々がこの動画を観ることはないと思う。なぜならFBIは上層部から実績を評価されるために無作為に人々を逮捕したのであって、「逮捕しているところを見てください、私たちは何もせずにお金をもらっているのではなく、税金を無駄遣いせず誠実に働き、ランダムに人々を刑務所に入れているのです」と主張しているに過ぎないからだ。本物のハッカーは静かに仕事を続けているというのに。Basssterlordは捕まっていない。私はこのアクターの本名を知っているし、BasssterlordはFBIに捕まった哀れな者たちとは違う。

 

私はColonel Cassadというセヴァストポリ出身の軍事ジャーナリストなど知らないし、誰かに寄付をしたこともない。もしFBIが該当の取引を見せてくれたら、彼らがどこからそのような結論を導き出したのか、なぜ私がやったと主張するのかをブロックチェーンで確認できるのに。私はビットコインのミキサーなしでは決して取引しない。

 

もし私がEvil Corpの誰かと同じ暗号資産交換サービスを使ったとしても、それだけで私がEvil Corpと関係があることになるわけがない。もう一度言うが、該当の取引はどこにあるのだろうか？ 誰がどの取引所を使っているのか、この私がどうやって知るというのだろうか？ 私はさまざまな取引所を使っているし、1つの暗号資産取引所にすべての資金を集中させているわけではない。公開の取引所を利用しているほかの大勢の人々についても、みんなEvil Corpの関係者だと非難しようじゃないか。

 

実際の取引やウォレットを公開することなく、このような話を持ち出されるのは不愉快きわまりない。先述のように証明できないからだ。取引やビットコインのウォレットがないから、お前らは何も証明することなく私を非難できるし、私も反論のしようがない。

 

私の収入は1億ドル以上だとFBIは言っているが、これは本当のことだ。大金の支払いを伴うやり取りを削除して本当によかったと思うし、これからはもっと頻繁に、かつ少額の支払いを伴うやり取りも削除しようと思っている。この金額から私が軌道に乗っていることがわかるし、たとえミスをしてもFBIには私を止められないどころか、私がミスを正してカネを稼ぎ続けているということもわかる。このことから、FBIがハッキングを行ってもビジネスの繁栄を止められないことは明らかだ。困難な経験が私を強くするからね。

 

FBIの行動はすべて私のアフィリエイトプログラムの評判を落とすことが目的であり、連中は私に自分の仕事から手を引くか辞めてもらいたいと考えている。奴らは私を見つけたり排除したりすることができないから、私を怖がらせようとしているのだ。私を止めることはできないし、それを望むことも不可能だ。私は命ある限り、身代金をいただきながらハッキングを行い続ける。

 

FBIが私に元気や活力を与え、娯楽や散財から私を解放してくれたことがとても嬉しい。何億ドルものカネを持ちながらコンピューターの前に座るのはとても大変なことだ。私の仕事に対するモチベーションを高めてくれるのは強力な競合グループとFBIだけであり、一種スポーツのようなものとしての興味と競争への欲求がある。より多くのカネを稼ぎ、多くの企業を攻撃する競合グループや、私を捕まえられるかどうかで奮闘するFBIを相手にね。FBIの仕事ぶりを見て、奴らは私を捕まえられないと確信している。

 

FBIは私の正体を公表すると約束したが、その約束を果たせなかった。連中は大胆にも私が身代金を受け取った後も盗まれた企業情報を削除していないという嘘をつき、道化を演じている。私の馴染みの弁護士であるArkady Bukh、Victor Smilyanets、Dmitry Naskavets各氏が言うように、FBIは自らが嘘つきであることを公に認めた上で、何度もホラを吹いていることがわかる。ちなみに、私はこの3人を100％信用している。FBIは私が奴らのために働いていると主張することで、私の評判を落とそうとする愚かな試みを行った。米国企業のデータを日々暗号化し、何億ドルも稼ぐ男がFBIの承認を得てそんなことをやっているというのだろうか？ それが実情だというのだろうか？ 実に利口だね。

 

お前らはこんなことを考えているはずだ。なぜ私が何億ドルもの大金を得るために働くのかと。答えを教えよう。ただつまらないからだ。私は自分の仕事を愛している。この仕事は生きる喜びをもたらしてくれるが、カネや贅沢は同じような喜びをもたらさない。だからこそ私は、自分の仕事のために命を懸ける覚悟がある。明るく、豊かで危険な人生とはそういうものだと思う。

 

※私がFBIと書く時、FBIのことだけを指しているのではない。攻撃した企業からデータを盗んだ後に最初の砦になってくれるだけで、首謀者でも何でもないパートナーたちのサーバーを制御する方法を知っている、奴らのアシスタント全員のことも指す。例えばイギリスのSouth West Regional Organized Crime Unit、ロンドン警視庁、ユーロポール、フランスの国家憲兵隊C3N、ドイツの州刑事庁と連邦刑事庁、スイスの連邦警察庁とチューリッヒ州警察、日本の警察庁、オーストラリア連邦警察、スウェーデン警察庁、フィンランドの国家捜査局、王立カナダ騎馬警察、オランダ国家警察がこれに該当する。だから気を悪くしないでほしい。私は君たちのことを忘れていたわけではないし、君たちも今回のオペレーションで大いに役立ってくれた。しかし個人的に称賛に値する人物は、私のサーバーにアクセスするのに適した、公開済みのPHPの脆弱性を見つけた者のみだと考えていることをお忘れなく。その人物はおそらくPRODAFTの人間だろう。

（中略）

FBIがハッキングを行った後でも、盗まれたデータはブログで公開される。身代金を支払うことなく、盗まれた情報を破棄できる可能性はない。そしてロッカーのすべてのビルドに最大限の保護を導入した後であれば、攻撃された企業の2.5％ですら無料でこれを復号できるチャンスはないだろう。

 

新しいアフィリエイトは、フォーラムで評判があって、身代金を要求するハッカーであることを証明できる場合、あるいは手付金として2ビットコインを入金した場合、私のアフィリエイトプログラムで働くことができる。手付金を増額した背景には、アフィリエイトが私とともに数億ドルを稼いでいるのをFBIが裏付けて見事に宣伝してくれたこと、そしてFBIもそのアシスタントも私を怖がらせたり止めたりすることができないという事実がある。サービスの安定性は長年の継続的な活動によって保証されている。

（中略）

なぜ復旧に4日もかかったのか？ サイトに互換性がなく、最新バージョンのPHPのソースコードを編集しなければならなかったからだ。

 

LockBitより

2024年2月24日