背景
LockBitランサムウェア・ウイルスは2019年9月に正式デビューし、暗号化された被害者ファイルに.abcdという接尾辞をつけることから「ABCD」ランサムウェアと呼ばれた。LockBit 1.0の初期バージョンは非常に未熟で、暗号化ソフトウェアがプロセスで固定の相互排除ロックを使用していただけでなく、ウイルス対策ソフトウェアやサンドボックス、その他のセキュリティソフトウェアによって容易に認識され、傍受される可能性のあるデバッグ機能さえも残されていた。
組織の規模が大きくなるにつれ、LockBit 1.0はRaaS(ランサムウェア・アズ・ア・サービス・ランサムウェアとサービス)モデルで運営するようになり、それによってランサムウェア・ツールが開発され、他の悪意のあるアクターによって使用されるように配布され、著名なロシア語のフォーラム、XSSでその協力プログラムを宣伝した。
8ヵ月後、LockBit 1.0ランサムウェアの運営者は、被害者のデータを公開するサイトを作成し、ファイルの暗号化と組み合わせることで、ランサムウェアの手口をアップグレードし、「二重の身代金」の目的で被害者にさらに圧力をかけようとしました。
いくつかのマイナーアップグレードを経て、LockBit 1.0は他のランサムウェアよりも洗練されたものとなっている。Windows システムの暗号化プロセスでは、RSA + AES アルゴリズムを使用してファイルを暗号化し、効率を向上させるために IOCP 完了ポート + AES-NI 命令セットを使用することで、高性能な暗号化プロセスを実現し、ファイルの暗号化に成功すると、すべての被害者のファイルに解読不可能な .abcd 拡張子が追加されます。
LockBit ランサムウェア 1.0 は、主に被害者のシステムのデスクトップの壁紙を変更して身代金メッセージを表示し、Restore-My-Files.txt と呼ばれる身代金メモを残し、被害者にダークウェブにログインしてビットコインまたはモンローコインで身代金を支払うよう要求します。
このグループはその後、いくつかの有名な攻撃で有名になった。例えば、2022年6月、彼らはLockBitバージョン3.0を発表し、セキュリティ研究者に彼らのソフトウェアをテストし、改善するよう呼びかける脆弱性報奨金プログラムを盛り込んだ。システムの脆弱性を発見した場合に報奨金を提供するというのは、ランサムウェアではユニークなアプローチだ。
事業開始以来、ロックビットは以下の分野で多大な貢献をしてきた。サイバーセキュリティその影響は大きく、攻撃によって機密データが盗まれたり、被害を受けた側が金銭的な損失を被ったりすることも少なくない。
「輝かしい」歴史
2022年5月まで、ロックビットはほぼ絶好調で、全世界で850以上の企業組織の防御に侵入し、同時期のランサムウェア関連攻撃の46%を占めている。
RaaSエージェントモデル:
攻撃スタイル
サイバーセキュリティ企業Dragosによると、2022年第2四半期に産業用システムに対するランサムウェア攻撃の約3分の1がLockBitによって行われ、産業用制御セクターの多くの大規模組織を襲った。また、Deep Instinct社は、2022年上半期のランサム攻撃全体のうち、約44%がロックビットによって行われたと報告している。
わずか3年間で、LockBitランサムウェア・ギャングはすでに1000人以上の犠牲者を出している。これは、ベテラン・ランサムウェア・グループであるContiの2倍、Revilの5倍以上である。
ロックビットの身代金要求組織の身代金獲得率は、多くの確立された身代金要求組織よりも高いことも注目に値する。2022年のデータでは、1億ドルの身代金要求の半分以上の身代金成功率を誇り、無数の企業を脅かしている。
現状
2022年11月、米国司法省(DoJ)は、ロシアとカナダの二重国籍を持つMikhail Vasilievを、LockBitランサムウェア作戦への関与の疑いで起訴した。この男は現在カナダで拘留されており、米国への身柄引き渡しを待っている。
5月、Wazawaka、m1x、Boriselcin、Uhodiransomwarとしても知られるロシア国籍のMikhail Pavlovich Matveev(30)が、複数のランサムウェア攻撃に参加したとして米司法省に起訴された。
米司法省は、3種類の異なるランサムウェアを使用して、ワシントンDCやニュージャージー州の法執行機関、全米の医療機関やその他の分野の組織など、全米の多数の被害者を攻撃したとして、この男を起訴する2件の起訴状を発表した:
- 2020年6月25日頃、マトヴェエフとロックビットの共謀者たちは、ニュージャージー州パサイック郡の法執行機関を攻撃した;
- 2021年4月26日、マトヴェエフと彼のバブクはワシントンDCのメトロポリタン警察への攻撃に加担した;
- 2022年5月27日頃、マトヴェエフとハイブの共謀者たちは、ニュージャージー州にある非営利の行動医療組織を攻撃した。
- 2024年2月19日、悪名高い身代金要求組織ロックビットのウェブサイトが、英国国家犯罪局、米国連邦捜査局、欧州警察機構(ユーロポール)、国際警察連合による合同法執行作業で押収された。
treasury.govは、人事情報、BTCおよびETHアドレスなどに関する関連制裁情報を公表している:
MistTrackを使って、認可されたETHアドレス(0xf3701f445b6bdafedbca97d1e477357839e4120d)の資金を調べた:
分析の結果、そのETHアドレスの資金が洗浄されていたことが判明した。
その後、制裁を受けたBTCアドレスの状況を分析したところ、これらのアドレスにおける最も古い取引は2019年10月までさかのぼり、最も新しい取引は2023年3月までさかのぼり、各アドレスにおける関連資金は送金されていることがわかった。
最高額を受け取ったアドレスは18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5で、これはLockBitのアフィリエイトであるArtur Sungatovのアドレスであり、MistTrackによってBinance Depositアドレスとしてフラグが立てられ、資金が送金されました。
次に、52.7892 BTCの金額がアドレス32pTjxTNi7snk8sodrgfmdKao3DEn1nVJMで受信されました。このアドレスはLockBitの関連会社であるIvan Kondratyevのアドレスであり、Kucoin DepositのアドレスとしてMistTrackによってフラグが立てられ、アドレスbc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6で0.4323 BTCの別の制裁転送を受信しました。アドレスbc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6は0.4323BTCを送金しました。
米国政府は、英国および欧州警察と共同で、ランサムウェア組織「ロックビット」についての詳細情報を発表し、ロックビットには193の支社があることも明らかにした:
逮捕の謎
英国国家犯罪局の広報担当者によると、LockBit社のサービスは、進行中かつ発展中の作戦の一環として中断されたという。この作戦は、法執行機関と身代金ギャングの複数年にわたる戦いの最新のもので、ロックビットの最近の国境を越えた身代金要求作戦に強力な打撃を与え、増え続ける身代金攻撃への効果的な抑止力となっている。
LockBitのノードを見ると、知られているLockBitランサムウェア組織のウェブサイトはすべてオフラインか、EUROPOLによって押収されたページが表示されている。法執行機関は、オペレーション・クロノスとして知られるもので、少なくとも22のTorサイトを押収または解体した。
この後、ロックビット・ランサムウェア・グループの幹部は、彼らのウェブサイトが押収されたことをメディアに確認した:
ロックビットのランサムウェア組織はその後、Toxに個人向けのメッセージを投稿した。"FBIはPHPを使用しているサーバーに手を出したが、PHPを使用していない代替サーバーは影響を受けなかった"。
今日、筋書きを覆して、LockBitの幹部は次のように述べている:我々は、LockBitの幹部が2024年2月23日(金)に公表されるという法執行機関の発表について、ランサムウェア組織LockBitの幹部と話をした。
LockBitはこう答えた。"私の正体を知らないのだから、公表させればいい"。その後、LockBitランサムウェア・グループは、法執行機関をあざ笑うために、その名前を "FBI Supp "に変えた:
vxundergroundによると、ロックビットが一般大衆に多額の報酬を提供しているにもかかわらず、最終的な黒幕は捕まっていないようだ。
この時点で、法執行機関は数日中にロックビット組織に関するより多くの情報を公開すると主張しており、話はますます良くなっている。
その余波は?今にわかる。
概要
今回の取り締まりは、ランサムウェア・ギャングに対する一連の法執行イニシアチブの中で最新のものだ。昨年末、FBIとその他の機関は、QakbotやRagnar Lockerを含む複数のランサムウェアギャングのネットワークとインフラの解体に成功した。
先日のミュンヘン・サイバーセキュリティ会議では、米国の司法副長官が、ランサムウェアやサイバー犯罪との戦いに対する米国のコミットメントを強調し、こうした犯罪行為の防止と妨害に焦点を当てた、より迅速で積極的な戦略を採用することを示唆した。
デジタル技術の発展に伴い、暗号通貨に依存したサイバー犯罪が世界的な大きな課題となっている。ランサムウェアなどのサイバー犯罪は、個人や企業に損失をもたらすだけでなく、社会全体に深刻なリスクをもたらしている。統計によると、昨年、サイバー犯罪者は世界中の被害者から11億ドル以上を恐喝した。
さらに、ランサムウェア・ガバナンスは、忍耐、戦略、タイミングを必要とするサイバー攻撃者とセキュリティ担当者の戦いでもある。
LockBitランサムウェアを例にとると、攻撃方法、戦略、侵入ポイントなどの各バージョンを反復的に更新し続けており、セキュリティ担当者が完全な修復システムを形成することは困難である。そのため、ランサムウェアのガバナンスの過程では、修復よりも予防の方がはるかに重要であり、ランサムウェアを防ぐための柵を形成するために、体系的、包括的な方針、体系的なガバナンス、複数当事者の共同アプローチを取る必要があり、以下の保護措置を行うことを強く推奨する:
可能な限り複雑なパスワードを使用する:組織内のサーバーや内部システムのパスワードを設定する場合は、数字、大文字、小文字、特殊記号を含み、長さが8桁以上のパスワードなど、複雑なログイン認証情報を使用し、パスワードは定期的に変更する。
ダブル検証:組織内の機密情報については、パスワードベースのログインを他の防御レイヤーで補完し、次のことを阻止する必要がある。ハッカー例えば、指紋や虹彩などのバイオメトリクス認証を導入したり、一部の機密システムに物理的なUSBキー認証装置を使用したりするなどの対策だ。
4つの禁止事項差出人不明の電子メールをクリックしない。ポルノ、ギャンブル、その他の好ましくない情報サイトを閲覧しない。差出人不明のソフトウェアをインストールしない。また、見知らぬ人から送られたソフトウェアのインストールにも注意する。差出人不明のUSBフラッシュドライブ、モバイルハードドライブ、フラッシュメモリカードなどのモバイルストレージデバイスをデバイスに恣意的に挿入しない。
データのバックアップ保護:データ損失に対する真の安全策は常にオフライン・バックアップであり、重要なデータやビジネス・システムのバックアップを取ることが不可欠である。万が一マルウェアに感染した場合でも、バックアップをタイムリーに復元できるよう、バックアップは各段階で明確なラベルを付けておく必要がある。
常にウイルスを死滅させ、ポートを閉じる:ウイルス対策ソフトをインストールし、定期的にウイルスデータベースを更新し、定期的に完全なウイルス対策を行う。不要なサービスやポート(ポート3389、ポート22などの不要なリモートアクセスサービス、135、139、445などの不要なLAN共有ポートを含む)を閉じる。
従業員の安全意識を高める:セキュリティ生産の隠れた最大の危険は、人員、釣り、社交、毒、弱いパスワードなどにあり、これらの重要な要因は、人員のセキュリティ意識と密接に関連しているため、全体的なセキュリティ強化と防御能力の強化をうまく行うには、効果的に人員のセキュリティ意識を強化する必要があります。
オフィスの端末やサーバーに適時パッチを適用:オペレーティング・システムやサードパーティ製アプリケーションに適時パッチを適用することで、攻撃者が脆弱性を利用してシステムに侵入することを防ぐ。
礼状:WuBlockchain、@vxunderground、Hittan Labs、Yunding Labs
参照する
[1] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[2] https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-グループ
[3] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[4] https://ofac.treasury.gov/recent-actions/20240220
元記事はxbearによるもの。転載の際は、https://www.cncso.com/jp/malicious-software-ransom-team-lockbit-revealed.html。
