LockBitのアフィリエイトはロシア政府が支援するサイバー犯罪グループの高位ハッカー: Operation Cronos作戦で英国が新たに発表
(情報源:TechCrunch、BleepingComputer、NCA、Europol)
LockBitランサムウェア打倒のための複数国法執行機関による共同作戦「Operation Cronos」に、新たな展開があった。10月1日、今年2月に差し押さえられたLockBitの旧リークサイトが再度オンラインになり、ここで関係者複数人が新たに逮捕されたことや、同ランサムウェアのあるアフィリエイトがEvil Corpグループのナンバー・ツーだと判明したことなどが発表されている。またユーロポールと米英の当局はそれぞれプレスリリースを出し、逮捕や制裁の詳細などについて公表した。
Operation Cronosの概要とこれまでの流れ
Operation Cronosは、LockBitランサムウェアグループの活動を妨害・停止させることを目的とする国際共同作戦。米国やヨーロッパ諸国など12か国の警察組織が共同で実施しているもので、日本からも警察庁が参加している。2024年2月、その活動の第一弾としてLockBitのリークサイトやサーバーなどが差し押さえられ、リークサイトは当局の支配下に。当局は乗っ取ったこのリークサイト上で、容疑者2名が逮捕されたことなどを発表した。
また今年5月には、一時的に閉鎖されていたこの旧リークサイトが再開され、同ランサムウェアの管理者とされる「LockbitSupp」の正体がロシア国籍のDmitry Yuryevich Khoroshev被告であることが公表されていた。
その後このリークサイトはしばらくの間再びオフラインになっていたが、10月1日に突如またオンラインとなり、新たな逮捕者やEvil Corpの関与などが発表されている。
ロシアのサイバー犯罪グループEvil CorpとLockBitの繋がり
Operation Cronosの新たな成果の1つが、LockBitとロシアのサイバー犯罪シンジケートEvil Corpの繋がりを示す証拠がさらに見つかったこと。Evil Corpは長年にわたりサイバー犯罪活動に従事してきたグループで、オンラインバンクからの金銭窃取などで有名。以前より、ロシア政府との結びつきを持つと指摘されている。
Evil Corpの「ナンバー・ツー」はLockBitのアフィリエイト
英NCAが1日に明かしたところによれば、LockBitランサムウェアグループの古株アフィリエイトである「Beverley」というアクターの正体は、Evil Corpの「副司令官」であるAleksandr Ryzhenkov被告だという。同被告はEvil Corp創設者兼リーダーのMaksim Yakubets被告の親しい友人であるとされ、NCAは「(Yakubets被告の)右腕」であると評している。LockBitのアフィリエイトになったのは2022年で、それ以降、少なくとも60組織を攻撃してきたという。
米英およびオーストラリアの当局はRyzhenkov被告に対する制裁を発表しており、自国に関係する組織や個人に同被告と取引することを実質的に禁じている。このため今後は、同被告へランサムウェアの身代金を支払うことも違法行為とみなされることになる。また米国検察当局は、コンピューター犯罪関連の容疑でRyzhenkov被告を起訴したことも明かした。
NCAはまた、Maksim Yakubets被告の父親であるViktor Yakubetsと、義理の父親であるEduard BenderskiyもEvil Corpの主要メンバーであるとし、同じく制裁対象に加えている。Eduard Benderskiyはロシア連邦保安庁(FSB)で高官を務めていた人物とされ、Evil Corpと同国諜報諸機関との関係を取り持つ重要な役目を果たしていたと伝えられている。
その他の新たな逮捕者
上記のEvil Corp関連の新たな情報に加えて、今回のOperation Cronos作戦ではLockBitへの関与が疑われる以下4名の容疑者の逮捕も発表された。
- LockBitランサムウェアの開発者とされる容疑者。2024年8月、ロシア国外へ休暇旅行中にフランス当局の要請により逮捕。
- LockBitのアフィリエイトと関係があったとされる容疑者1名と、LockBitのマネーロンダリング活動に関わっていたとされる容疑者1名。同じく8月にNCAが逮捕。
- LockBitのインフラを守る防弾ホスティングサービスの管理者とされる容疑者。スペイン警察がマドリードの空港で逮捕。
LockBit陣営へのダメージは多大か
上記のような動きがあった今もなお、LockBitは引き続きアクティブ状態。それでもNCAは、Operation Cronosによるこれまでのアクションが同ランサムウェアの運営に甚大な影響を及ぼしてきたと述べている。同庁によれば、今年5月以降、アフィリエイトの数は200から70へと減少しているという。またダークウェブのリークサイトには新たな被害者が追加され続けているものの、その大半は過去の被害組織が再度掲載されているだけであるか、虚偽の主張であるとされる。今回重要アフィリエイトの正体が明かされたことや、主要な関係者が逮捕されたことで、LockBitは更なるダメージを被ることになるとみられる。