LockBitリーダーの身元を当局が明らかに、制裁も発表 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > LockBitリーダーの身元を当局が明らかに、制裁も発表

Threat Report

lockbit

Silobreaker-CyberAlert

テイクダウン

LockBitリーダーの身元を当局が明らかに、制裁も発表

佐々山 Tacos

佐々山 Tacos

2024.05.08

LockbitSuppの正体は31歳のロシア人:LockBitリーダーの身元を当局が明らかに、制裁も発表

(情報源:The RecordBleepingComputer

LockBitランサムウェアオペレーションの運営者「LockbitSupp」(putinkrab)の正体がロシア国籍のDmitry Yuryevich Khoroshev被告(31)であることを、米FBI、英NCA、ユーロポールが明らかに。米国は26件の個別の犯罪事実をめぐってKhoroshev被告を起訴し、1,000万米ドルの報奨金を提示して指名手配しているほか、米国、英国、オーストラリアは同被告に金融制裁を科している。

LockBitテイクダウン以降の経緯

FBIらは、今年2月のテイクダウンで差し押さえたLockBitの旧リークサイトを日曜日に再びプレスリリース用サイトとして復活させており、同ランサムウェアに関するさらなる情報の開示を仄めかしていた。そしてその予告通り、今回LockbitSuppの身元暴露が行われた形。

  • 2024年2月19日(日本時間):LockBitの全Webサイトがオフラインになるか、英NCAなど各国の司法当局による差し押さえバナーの表示に切り替わる。
  • 2月20日:NCAなどが公式声明を発表。テイクダウンについて正式に認め、この国際共同捜査作戦「Operation Cronos」に関する詳細が明かされた。この際、LockBitのリークサイトの一つがNCAの支配下に置かれ、当局側のプレスリリース用サイトとして使われる。
  • 2月21日:米国務省が、LockBitグループのメンバーやアフィリエイトの特定、または居場所の特定につながる情報の提供者に、最高1,500万ドルの報奨金を支払うと発表。
  • 2月23日:プレスリリースサイト/旧リークサイトには「Who is LockBitSupp?」と題された投稿があり、23日が情報解禁日であるとされていたものの、結局このアクターの身元は明かされず。数日後にプレスリリースサイトは閉鎖。
  • 2月26日:LockBitが新たなインフラのもとで活動を再開している旨が報じられる。
  • 5月5日:FBIら当局が、プレスリリースサイト/旧リークサイトを再度オンラインに。さらなるプレスリリースや、LockBitSuppの身元に関する情報、またLockBitに関連するさらなるアフィリエイトの情報などの公表を予告。
  • 5月7日:当局は宣言通りに新たな声明を発表。LockBitSuppがDmitry Yuryevich Khoroshevというロシア国籍の人物だと確認された旨や、同アクターに対する起訴状、金融制裁の情報などを明らかに。

LockbitSupp/Dmitry Khoroshevとは?

まず「LockbitSupp」とは、LockBitの広報的な役回りに使われていたエイリアス(ハンドルネーム)で、同グループの「運営者」「管理者」などと称されることも多かった。LockbitSuppはロシア語ハッキングフォーラムで頻繁に投稿を行い、ジャーナリストや研究者に自らの犯罪組織について語ることも少なくなかったことから、ハッカー界/セキュリティ業界では非常によく知られていた。

今回の米国務省の声明によれば、このエイリアスを操っていた主要なオペレーターが、Yuryevich Khoroshev被告であるという。Khoroshev被告はこの声明において「LockBitのシニアリーダー」、「リーダー」、「LockBitランサムウェアの開発者」と呼ばれており、同グループの運営や管理に関するさまざまな役割を担っていることなどが指摘されている。このほか、同被告に関して以下のような事実が明かされた。

 

  • Khoroshev被告は1993年4月17日生まれ、現在31歳のロシア人。
  • Khoroshev被告は米OFACのSDNリストに追加されており、このリストによると、同被告はicloudメールとyandexメールを使用している。また被告が使用しているデジタル通貨のアドレスやパスポート番号、納税者番号も明かされている
  • Khoroshev被告はグループの運営・管理のほか、LockBitのインフラの強化や新たな開発者のリクルーティング、アフィリエイトの管理、2月のテイクダウン後の活動継続努力なども担っていた。
  • LockBitが被害者から奪い取った身代金総額はグループ全体で約5億ドルだが、このうちおよそ1億ドルはKhoroshev被告のポケットマネーとなった。
  • Khoroshev被告の逮捕や有罪判決につながる情報に対し、米国は1,000万ドルの報奨金を提供するとしているが、被告自身も、過去に自らの身元を暴くことができたものに対して1,000万ドルの報奨金を支払うと述べていた。

LockBit側の反応と今後の展望

メッセージングサービスToxにおいて、LockbitSuppは自らの正体がDmitry Khoroshevであることを否定し、「FBIはハッタリをかましている。私はDmitryではない。Dmitry本人には申し訳なく思うよ))) ああ、それに彼は私の罪を被せられるのだろうね))) 」と述べているという。またLockBitのリークサイトでは、当局のプレスリリース公開後も引き続き新たな被害組織が追加されている状況。さらに、LockBitSuppは今回の動きへの報復としてさらなる盗難データのリークを実施する可能性もあるとされる。

しかしBleepingComputerは、LockBitのこうした動きは「最後のあがき」になるかもしれないと指摘。今回Khoroshev被告が制裁対象となったことで、LockBitグループへの身代金支払いが制裁違反とみなされ、支払った被害組織には米政府による罰金が科される恐れが出てきたことや、アフィリエイトのLockBitに対する信頼は揺らいでおり、現存するメンバーの数が194名から69名へと減っていることなどを踏まえると、同ランサムウェアが終わりを迎える日はそう遠くない可能性もある。

一方で、LockBit自体は閉鎖に追い込まれたとしても、同グループに関わっていた脅威アクターたちが将来的に別の名称のランサムウェアグループのもとで活動を続けていくということも考えられるという。いずれにせよ、LockBit含むランサムウェアエコシステム全体の動きは今後も注視する必要がありそうだ。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ