ランサムウェア
法執行機関の作戦活動「オペレーション・クロノス」によるLockBitへの衝撃とその余波
本稿では「オペレーション・クロノス」がLockBitの活動に与えた影響のハイライトとポイントを取り上げ、混乱後のLockBit関係者の動きについてテレメトリーデータとともに解説します。
要約:
- 2024年2月19日に実施された法執行機関活動「オペレーション・クロノス(Operation Cronos)」により、ランサムウェアLockBit関連のプラットフォームが一時的に停止され、この悪名高いランサムウェアグループの活動が大きく妨げられました。
- LockBitのサービスが停止した直後、イギリスの国家犯罪庁(NCA: UK’s National Crime Agency)が同グループのリークサイトを掌握し、サイバー犯罪に対抗する国際的な取り組みを象徴する出来事となりました。
- 当局は、掌握したLockBitのリークサイトを通じて、攻撃グループとその活動、逮捕や制裁に関する詳細、暗号資産の押収などの情報を公表しました。これにより、被害を受けた企業や組織への支援が示され、また、LockBitの攻撃グループが約束した身代金支払い後のデータ削除にも疑問が投げかけられ、身代金の支払いが最善の対策ではないことが示されました。
- トレンドマイクロは、開発中の新バージョン「LockBit-NG-Dev」も分析しました。その新たな機能として「.NETコアへの移行」が指摘され、これによりさまざまなプラットフォームに対応可能となり、さらに新しいコーディング言語の使用に伴い、別のセキュリティ検出パターンが必要であることも確認されました。
- LockBitに関する一連の情報が明らかとなり、その内部機能の一部が暴かれ、関係者の身元や被害者のデータも暴露されました。これは、サイバー犯罪者同士のネットワークにおける信頼度や協力体制の低下にも繋がる可能性があります。
- サイバー犯罪コミュニティ内でのLockBitを巡る今回のトラブルに対する反応は、競合グローバル側の満足から同グループの未来に関する憶測まで多岐に渡り、今回の出来事がサービスとしてのランサムウェア(RaaS)の業界に大きな影響を与えたことも示唆しています。企業や組織は、今後、RaaSの戦術が変わってくる可能性も考慮し、混乱に陥った攻撃グループやその利用者の再編成等の動向も注視しておくべきでしょう。
- LockBitの攻撃グループが自ら主張することとは逆に、今回の混乱後に見られた彼らの活動は、法執行機関による「オペレーション・クロノス」が彼らに顕著な影響を与えたことも示唆しています。
オペレーション・クロノスの概要
2020年初頭から活動を開始したランサムウェアLockBitによるRaaSは、さまざまなランサムウェア活動の中でも最大級のRaaSグループへと成長しました。2023年には、全てのランサムウェア攻撃活動の25%から33%を占めるまでに至り、数千にも及ぶ企業や組織が被害に見舞われ、2023年の金融業界に最も深刻な脅威をもたらしたランサムウェア攻撃グループとなりました。
LockBit攻撃グループは、支払われた身代金のの20%を攻撃グループが受け取り、残りはランサムウェア攻撃を実行したRaaS利用者のものとなるアフィリエイトモデルで運営していました。本稿では、LockBitがどのように運営されていたかの詳細と合わせ、何よりも、その運営が中断された後に確認された各種の活動について説明します。
2024年2月19日、グリニッジ標準時(GMT)の午後8時頃、LockBit運営に関連するいくつかのオニオンサイト(Tor: The Onion Routerネットワーク上で運営される匿名性を重視したウェブサイト)が404エラーを示していることが確認されました。
複数のオニオンサイトがいずれも接続を拒否していることが確認された後、法執行機関の活動「オペレーション・クロノス」が開始されました。
GMTの午後9時には、これらのサイトが再びオンラインになりましたが、今度は法執行機関(LEA: Law Enforcement Agency)の告知ページが表示され、当該サイトが現在イギリスの国家犯罪庁(NCA: UK’s National Crime Agency)の管理下にあることが告げられました。
2024年2月20日、LockBitのリークサイトが変更され、LockBitによる従来の見た目を保持しつつも、通常の内容の代わりにLockBitによる情報暴露の脅迫行為を彷彿させるカウントダウンタイマーが設置され、しかもこのタイマーは、今回の閉鎖に関する複数のプレスリリース、起訴状、逮捕、ブログ記事の公開が予告されたものに変更されていました。
LockBitのリークサイトに掲載されたプレスリリース
掌握されたリークサイトには、イギリスの国家犯罪庁(NCA: UK’s National Crime Agency)、米国連邦捜査局 (FBI: Federal Bureau of Investigation)、欧州刑事警察機構(Europol: European Police Office)からのプレスリリースが掲載され、サイバーセキュリティの最大の脅威に対処するための各機関の共同努力が示されていました。
「閉鎖」ではなく「妨害」という言葉が使用された点も特筆されます。これは、過去の犯罪組織に対する法執行機関の行動を想起させる用語です。今回のオペレーションを通じて明らかにされた一連の情報からは、これが単なる大規模サイバー犯罪グループに対する当てつけではなく、綿密に計画され、遂行された戦略であり、各法執行機関が困難な対象にも積極的に取り組む意欲を示唆しており、実際には、法の手が届かないと思われていた攻撃グループであっても、実際に成果を上げることが可能であることを示しています。
LockBitSuppがサイバー犯罪フォーラムから追放される
今回公開された情報の中には、現在最も有名であり歴史もあるサイバー犯罪フォーラム「Exploit」と「XSS」における攻撃者「LockBitSupp」を巡る状況の変化も含まれています。LockBitSuppは、サイバー犯罪コミュニティ内での不適切な行動が原因で、これら2つの主要なサイバー犯罪アンダーグラウンドフォーラムから追放され、その事実が周知された際、サイバー犯罪の世界にも悪影響が及びました。
LockBitSuppがフォーラムから追放されたことで、オペレーション・クロノスの後、LockBitグループ側からメッセージを伝える機会も制限されました。もしLockBitSuppがこれらのフォーラムへのアクセスを保持していれば、LockBitグループは、オペレーション・クロノスを巡る進行中の議論にも参加し、関係者を安心させるための機会ともなり得たはずだからです。
オペレーション・クロノスによるLockBit復号キーの提供
オペレーション・クロノスが、これまでの通常のサイト押収と異なる大きな点は、復号キーが提供されるという発表でした。このサポートの告知からは、被害を受けた企業や組織にとって身代金の支払いが最善の手段でなかったないことを示しています。これは、LockBitが交渉での約束を破り、身代金が支払われた後でも被害者のデータを削除しなかった事実の裏付けともなっています。
トレンドマイクロによるLockbit-NG-Devの解析
トレンドマイクロでは、プラットフォームに依存しないビルダーとしての開発中の検体を入手して解析しました。この検体は、トレンドマイクロで追跡中の亜種「LockBit-NG-Dev」(「NG」は「次世代」を意味する)であり、解析結果は、信頼できるパートナーからの他の解析結果と合わせて、同様に今回掌握したリークサイトでも公開されました。
主要な解析結果は以下の通りとなります。
- LockBit-NG-Devは、.NETで書かれ、CoreRTを使用してコンパイルされています。これを.NET環境と併用することで、コードをよりプラットフォームに依存しない形とにします。
- コードベースは、この新しい言語への移行に関連して完全に新しくなっています。このため、それを検出するために新しいセキュリティパターンが必要になる可能性があります。
- LockBit 2.0(Red)やLockBit 3.0(Black)と比較して機能は少なくなっていますが、開発が進むにつれてこれらの追加機能が加わる可能性もあります。しかし、現状でも、多くの機能を備えた強力なランサムウェアであり、注意が必要です。
- 自己拡散機能の他、ユーザのプリンターを介して身代金要求のメモを印刷する能力が削除されていました。
- 実行に際しては、現在の日付を確認することで見ることができる有効期間があり、これは運営者側から利用者の使用をコントロールしたり、セキュリティシステムによる自動解析実施を困難にしたりする際に有効であると考えられます。
- LockBit 3.0(Black)と同様、このバージョンにもルーチン用のフラグ、終了させるプロセスやサービス名のリスト、避けるべきファイルとディレクトリを含む設定が保持されています。
- 暗号化されたファイルをランダムなファイル名でリネームする機能も保持しています。
開発中のビルダーの技術的な詳細の他、こちらのレポートでは、攻撃グループが経験した技術的問題やLockBitの評判低下についても解説しています。
LockBit関連の内部情報流出により被害者やRaaS利用者の詳細が明らかに
法執行機関がリークサイトを単に改ざんしただけではないかという疑念を持つ者もいましたが、LockBitの管理パネルの詳細が公表されたことで、その疑念はすぐに払拭されました。この公表により、LockBitが通常通りの運営ができなくなることが関係者には明白となりました。
本節の後半では、公表された管理パネルのスクリーンショットから得られる興味深い情報について詳しく説明します。
管理パネルの統計ページには、サイト訪問者数やテストファイルを復号した被害者数が表示されています。これは、被害者がリークサイトにどの程度関与しているかに基づき、支払いをする可能性を予測するために使用されていたと推測されます。また、これらは交渉において有利に使える情報であるため、被害者が大きな関心を引いているかどうかを評価するためにも利用された可能性があります。
管理パネルのチャットタブからは、法執行機関がRaaS利用者や被害者の間の会話にアクセスできたことが示されています。これにより、被害者を特定し、LockBitの被害者全体の実態を把握するのに役立ったと推測されます。チャットウィンドウには、被害者が復号ツールをダウンロードできるオプションが示されてありました。交渉中のケースや現在の被害者には、このオプションが提供された可能性があります。
ビルダーのタブを見ると、この攻撃グループは世代ごとのビルダーによって黒、赤、緑と色分けしており、LinuxやESXi向けのビルダーがあったことも確認できます。なお、異なる名称のビルダーが見当たらないことから、今回解析した検体が実際にはまだ使用されていないことも把握できます。
リスティングのタブを見ると、被害者の名前、ファイル数、収益、ファイルサイズが一覧表になって表示されています。これらの情報は、収益性の高いターゲットに優先的に対応するためのトリアージとして使用された可能性があります。ページの下部に記載されている「1912」という数字は、スクリーンショットが取られた時点でのLockBitの被害者数を示していると思われます。
また、管理者ページには、RaaS利用者一覧と、ユーザ登録時に収集された情報を表示するウィンドウが含まれています。RaaS利用者の名称はランダムに生成されると思われていましたが、ユーザ名のフィールドがあることから、一部の場合にはユーザ名を手動で設定できることが伺えます。
また、「親広告主」を選択するドロップダウンメニューがあり、LockBitの攻撃者によって見込み客が既存のRaaS利用者によって紹介された場合の記録が保持されていた可能性を示唆しています。この情報は、セキュリティ上の問題が生じた際に追跡可能な監査証跡を確保するために使用された可能性があります。
管理者ページでさらに興味深い点として、レベルの情報があります。LockBitはレベル4、そのRaaS利用者はレベル1と表示されていました。Keltonという名のユーザは他のRaaS利用者よりも活動中のチャットが少なかったにも関わらず、レベル3に分類されていました。これは、レベル3のメンバーがLockBitの直接的なオペレーター、あるいはLockBitSuppから高い信頼を得ている重要な攻撃者であることを示唆しています。
暴露されたLockBitのRaaS利用者
法執行機関に掌握されたリークサイトで公表された「LockBitのハッカーの暴露」セクションを見ると、LockBitのコントロールパネルにログインしたRaaS利用者は、法執行機関がコントロール下となり、連絡を受ける可能性があることを告げるメッセージも示されていました。
RaaS利用者一覧を検証した結果、管理者アカウントを除くと、193のRaaS利用者アカウントが存在することが分かりました。また、いくつかの「テスト用」アカウントも存在していました。今回確認したところ、使用されているユーザ名の大部分は一般的な名前であり、これだけでは特別な情報を得ることはできませんが、これらのユーザ名がフォーラムなどで再利用されるタイプのハンドルではないことも示唆しています。
しかし、以下のようにいくつかの注目すべきユーザ名も確認されます。また、ランサムウェアContiの攻撃グループのメンバーが使用していたとされるハンドル名と重複しているものもあります。
- Id:5「Finn」:この名前は、マルウェアTrickbotの攻撃グループの主要メンバーであり、コーダーのチームリーダーを務めた攻撃者Buza(後に制裁措置によりMaksim Rudenskiyであることが明らかに)も使用していた別名です。偶然かもしれませんが、このアカウントの参加時期はContiが活動を停止してから1ヶ月後でした。
- Id:36「JohnRembo」:これは典型的なユーザ名ではなく、RaaS利用者一覧の中で際立っています。しかし、この名前に関連する目立った活動は確認されています。
- Id:46「BillieOLDDDDD」:これも珍しいユーザ名ですが、関連する他の活動は確認されていません。
- Id:52「Stanton」:これもConti攻撃グループの元暗号化担当者が使用していたハンドル名です。
- Id:112から113、117から120の「teststealergate.*」:これらのアカウントは、マルウェアStealcの内部テスト用だった可能性があります。
- Id:126「federalvstavaiskolen」:このユーザ名は異なる意味や翻訳を持つかもしれません。一つの解釈として、「fed eral vstavai skolen」は、英語とスラブ系言語の組み合わせによる「膝から立ち上がれ」または「連邦、学ぶべし」と分割して解釈することも可能です。これもテストアカウントだった可能性があります。
- Id:129「AlphaKiller」:これも変わったユーザ名ですが、関連する他の活動は確認されていません。
- Id:130、132、および140の「dududu」、「pentestululu」、「uluulu」:他の名前と異なり大文字が含まれていません。これらは運営者が使用するテストアカウントである可能性があります。
- Id:193「Sailor」:「Sailor」という名前も一般的ではありません。これは、「SailorMorgan」と「cipherpunk」を別名として使用する攻撃者に関連している可能性があり、この人物はFiveHandsやYanluowangなどのランサムウェアグループの元メンバーとして、RaaSグループでの経験があります。
特に注目すべきは、2023年12月から参加したRaaS利用者数が多いことです。12月には20人のRaaS利用者が登録されており、これは過去18ヶ月間に加わった他の173人の関連者と比較してもかなりの数です。ALPHV(別名:AlphaVやBlackCat)の活動が法執行機関の介入により停止した時期と、登録の急増が一致しているのは偶然かもしれませんが、実際、LockBitSuppは、ALPHVのRaaS利用者受け入れることを積極的にアピールしていました。
LockBit の起訴と逮捕に関する発表
今回、Ivan Kondratyev(通称:Bassterlord)とArtur Sungatovに対する起訴が発表されました。これは、法執行機関が LockBitの攻撃グループについてどれだけの情報を収集していたかを改めて明らかにしました。前回の記事では、Bassterlordが LockBit攻撃グループの重要な下部組織であるとされる「National Hazard Agency」のリーダーであると推測していました。その意味では、今回の起訴は、LockBitの活動に関連する主要なメンバーと、サイバー犯罪コミュニティにおける顕著なメンバーの一人に焦点を当てたといえます。
LockBitの混乱に対するサイバー犯罪アンダーグラウンドでの反応
LockBitの混乱に対するサイバー犯罪アンダーグラウンドでの反応は、大きく2つのカテゴリーに分けられます。1つ目は、このニュースに何らかの満足感を抱いた人々で、これは恐らくLockBitSuppがXSSやExploitフォーラムから最近追放されたことや、そしてそれに伴う出来事によって増幅された反応といえます。もう1つは、LockBitが必然的に回復し、再編成されるか、ブランド名を変更するだろうと感じている人々です。
トレンドマイクロでは、サイバー犯罪アンダーグラウンドでの活動を監視する中、今回のオペレーション・クロノスへの反応を確認し、LockBit攻撃グループとの関連の可能性がある人物を特定しようとしました。LockBitを巡る今回の高い注目度を考えると、この混乱の後にはオンラインでも多くの議論が行われることが予想されました。サイバー犯罪アンダーグラウンドフォーラムでの投稿によって、一部のRaaS利用者が偶然にも自らの素性を明らかにすることが確認されました。また、LockBitがこれまで通りに活動を続けるかどうかについても多くの憶測が飛び交っていました。攻撃者たちは「自分たちならどう違うことをしたか」を議論することにも熱心で、こうした詳細は、RaaS利用者がどのような戦術、技術、手順(TTP)を駆使するかを考える上でも有益な追加情報といえます。
LockBitサービス停止直後の24時間について
通常、こうしたランサムウェアのサービスが大規模に停止すると、関連するRaaS利用者や他のアンダーグラウンド組織の攻撃者たちが、操作直後の数時間で即座に反応を示します。
今回の場合、特にXSSフォーラムで投稿した2人の攻撃者は、交換されたメッセージから判断すると、LockBitのRaaS利用者であったと思われます。「Desconocido」という名前を使用する攻撃者は、サービス停止により進行中の3つの攻撃キャンペーンに影響が出たと不満を表明しました。このコメントは、サービス停止が広く語られる前に行われたため、この攻撃者がRaaS利用者である可能性がより高いとされています。別の攻撃者の「IT-user」は、LockBit関連のToxアカウントが押収されたことを報告しました。これは、以前に彼らがLockBitSuppと通信していた可能性を示唆しています。さらにDesconocidoは、LockBitSuppがすでに別のアカウントを使用していたことを明らかにしており、こうした内容から、彼らが今回の件を受けてLockBitSuppと連絡を取る理由があったことを示唆しています。さらに、現在または過去のRaaS利用者であるとされる攻撃者「carnaval」も、サービス停止に関してXSSフォーラムでの議論に参加していました。
その他、よく知られた攻撃者である「Bratva」は、脆弱性CVE-2023-3284がALPHVとLockBitのインフラに対して使用された可能性があることを他のRaaSグループに対して強調し始めました。ただしこの可能性については法執行機関の公開資料では言及されていません。また、Exploitフォーラムでは、LockBitの運営者が他の攻撃グループへの参加する前にランサムウェアALPHVのRaaS利用者を誘い出すことに成功したという事実に疑問が提起されるといった議論なども展開されていました。
一方、ramp_v2フォーラムでは、LockBitSuppが「Lockbit」という名義を用いて新しいTox IDを公開し、LockBitのインフラを再構築することを発表していました。また、LockBitSuppは、RaaS利用者に対し、データが完全に保持されていることを保証して安心させようともしていました。
興味深いことに、「Loxbit」というユーザ名のX(旧Twitter)の投稿によると、LockBitのRaaS利用者として働いていた中、LockBitSuppに騙されたとの主張もなされています。図18のとおり、この投稿に関しては、LockBitのRaaS利用者が「Chuck Norris」というユーザ名を使っていたことが確認できます。トレンドマイクロでは、この人物は「chak Norris」や「sarg0n」という名前を使用している可能性もあると考えています。
LockBitサービス停止直後の72時間について
騒動が起きた数日後も、この話題はサイバー犯罪アンダーグラウンドフォーラムで広く議論され続けていました。フォーラムのメンバーたちは、法執行機関NCAがLockBitのリークサイトで行った行動を「lulzy」(インターネットスラングで「ユーモラス」や「楽しい」という意味)だと捉え、そのユーモアのセンスを評価しているようでした。また、逮捕に関する情報が公開されることで、さらに多くの議論が巻き起こりました。多くの人が、LockBitがランサムウェアConti、Royal、Black Basta、Hiveがかつて行ったように名称を変えて再び現れるだろうと考えていましたが、週が進むにつれてLockBitの評価が低下していきました。
Breachforumsというフォーラムで今回の騒動について語られたあるスレッドでは、LockBitが病院を攻撃対象にしたことから、この騒動のような制裁を受けるに値すると考えるメンバーもいました。騒動の直後、ExploitやXSSなどのフォーラムでは、話題の取り扱いが通常により控えめだったようです。LockBitSuppのアカウントの禁止状態に関する議論は活発でしたが、LockBitの騒動自体に関する議論は、他のフォーラムほど盛り上がっていませんでした。この原因の1つに、これらのフォーラムが比較的成熟しており、今回のような注目度の高い事例を受けて、今後、リサーチャーや法執行機関に監視される可能性があることにメンバーが警戒していたためとも考えられます。
その他の騒動の影響としては、他の活動中のRaaSグループが自己反省を始めたことが興味深い点といえます。特に競合するRaaSグループでは、LockBitがどのようにして侵入されたのかを学ぶことに大きな関心を寄せていました。また、SnatchというRaaSの運営者は「自分たちも全員がリスクにさらされている」とTelegramチャンネルで注意喚起していました。この騒動から得られた微妙な利点は、サイバー犯罪のエコシステムにおける疑心暗鬼の広がりといえるかもしれません。他の攻撃グループは現在、侵入のリスクを減らすために何をすべきかをより慎重に見直しているようです。ランサムウェアの脅威に立ち向かう上で、今回の騒動も含め、彼らの運営を難しくするあらゆる事象は歓迎されるべきでしょう。
今回の騒動を巡って不安や内省が入り乱れた時期に、サイバー犯罪アンダーグラウンド組織のメンバーたちの間で、実はLockBitSuppが法執行機関と協力していたのではないかと疑念が生まれたとしても不思議ではないでしょう。LockBitSuppがロシア連邦保安庁(FSB: Federal Security Service of the Russian Federation)と協力しているという言及も複数散見されましたが、これはあくまで推測に過ぎず、確たるものではないことを強調しておく必要があります。このような主張は、LockBit攻撃グループがドネツクの「カサド大佐」に寄付を送ったとする金融犯罪調査機関Chainalysisの情報によってさらに強化された可能性もあります。
LockBitSuppは、公のコミュニケーションに関しては慎重な態度を取っていました。これは恐らくXSSやExploitなどのフォーラムから追放されたことが影響している部分もあります。それでもLockBitSuppは、状況を把握しているかのように見せかけることに努めました。例えば、自分の身元に関する情報を公開しようとした法執行機関のカウントダウンに対し、報酬を2000万ドルに倍増するといった挑発的な対応をしていました。こうした反応は、LockBitSuppにとって賢明な策略でもあり、実際、サイバー犯罪アンダーグラウンド組織の支持を集めることにも成功したように見えました。このような明らかな抵抗は、今回の法執行機関の作戦が脅威ではないとRaaS利用者たちに示す戦略的な取り組みの一環であった可能性もあります。これはある意味、こうしたLockBitSuppの強い気の反応と顧客を意識した対応は、多くの被害者がランサムウェア攻撃の後に強いられたものと同様の「PR戦略」であるとも言え、顧客基盤に対しては強固な姿勢を公に示しながら、内部では再建と事業の再開に向けて努力しているようです。
最初の72時間、LockBitSuppについて公開される情報の範囲に関して多くの憶測がありました。NCAが悪名高いLockBitのカウントダウンを使って発表を行うという事実が、期待を一層高めました。また、最初の数日間は、LockBitSupp Telegramチャンネルを探している人々の間で幾分かの混乱がありました。これは、複数のアカウントがLockBitSuppを装っていたためです。騒動が引き起こした好奇心とメディアの注目を背景に、一部の者は混乱に乗じて、気づかぬうちの犠牲者から利益を得ようと試みていたようです。例えば、「Lockbit 3.0」と名乗るTelegramユーザは、自身がLockBitの運営者であると主張し、150ドルの少額の手数料で自分のグループへの参加を募ったとされています。
LockBitサービス停止後の最初の1週間について
LockBitSuppに関する情報の待望の情報公開は、サイバー犯罪アンダーグラウンド界隈では期待外れと受け取られました。一方、法執行機関が発表で「Top Cat」という絵文字を使用し、LockBitのオペレーションに対するある程度のアクセスを暗示したことも、法執行機関からのさらなる挑発と見なされました。公表された詳細が不足していることから、LockBitSuppが実際には強大な力を持っていないにもかかわらず、そう見せかけて虚勢を張っていたと考える人もいました。さらにその一方で、LockBitSuppが法執行機関と何らかの形でコミュニケーションを取っているという情報が曖昧ながらも公表されたことが、そのコミュニティ内で疑念を引き起こしたとも言えます。LockBitSuppやそのグループに対する疑惑や不信感が高まり、LockBitSuppが法執行機関と話していることに関するメッセージが公開され、1時間も経たないうちにTelegram上で「Lockbitが密告者だという噂がある」というメッセージがいくつも出回りました。
サイバー犯罪アンダーグラウンド市場のリーダーになる可能性がある他のランサムウェア攻撃グループについても、さまざまな憶測が出回りました。特にランサムウェアALPHVが注目され、トップに躍り出ると見られていました。しかし、ALPHVに関する一連の出来事を経て、そのような展開にはならないことが明らかになりました。
また、被害者のデータが支払いの後も削除されなかったことについて議論が展開されました。このデータが依然として大きな価値を持つことを考えれば、これが驚くべきことではないと指摘されています。
最初の数日が過ぎた後も、騒動の発生原因とその影響について焦点を当て続けている人々がいました。サイバー犯罪アンダーグラウンド一部のメンバーは自ら調査を行い、過去の投稿を詳細に調べ、以前に何が語られていたかを解析し始めました。こうした動きは、今回の騒動を巡って憶測が出回る状態をさらにエスカレートさせています。
法執行機関の発表への反論として、LockBitSuppは、2024年2月24日に新たなOnionサイトで活動を再開することを発表し、新たなリークサイトで情報暴露の脅迫を行う最初のターゲットとして、米国連邦捜査局(FBI: Federal Bureau of Investigation)の公式サイト「fbi.gov」を挙げました。
法執行機関が掌握したリークサイトでのカウントダウンがゼロになった際、その一方で、LockBitSuppからは、新たに設置されたリークサイトから長文の声明が発表されました。この新しいリークサイトには、FBIの機密情報ではなく、今回の出来事の経緯と活動継続の宣言が記された声明が掲載されていました。
また、LockBitSuppはramp_v2のフォーラムにメッセージを投稿し、 .govや .eduや.orgといったトップレベルドメインへのアクセスを売っている人を捜していることも示しました。これは、政府機関に対する報復攻撃を意図していると受け取られました。
こうした新たなリークサイトの再開に伴い、LockBitの活動に対する注目が高めることとなりました。LockBitSuppの声明では、PHPの脆弱性を介して自身のインフラが法執行機関に侵害されたと主張し、この話題は多くの攻撃者によってさまざまなフォーラムで議論され、共有されました。しかし、この主張されたPHPの脆弱性が6か月以上前のものであることも指摘され、LockBit運営側のセキュリティ環境を確保する能力が疑問視されることにもなりました。これはまた、新しいリークサイトをより詳しく検査するきっかけとなり、一部の人々は、新たなリークサイトでまだPHPが使用されている点も指摘しました。
FBIを模倣したアカウントを使った別のフォーラムのメンバーは、LockBitSuppが約1年半前に経験豊富なシステム管理者を探していたことにも言及していました。
さらに、別のユーザは、LockBitSuppが新しいオニオンサイトの1つで認証問題に直面していることを示唆するスクリーンショットも投稿しました。
このスクリーンショットと同様に、LockBitSuppによる新しいリークサイト上での公開声明にも、多くの関心が寄せられました。この声明を見て、一部の人々はLockBitの運営者が再び活動を開始したと考えました。しかし、他の人々はもっと懐疑的であり、新しいリークサイトでFBIの情報暴露に関する具体的な内容が得られなかったことから、法執行機関の作戦の延長、つまり、新しいリークサイトが実は法執行機関によって運営または監視されている可能性があり、犯罪者によって設立されたと見せかけられているが、実際には法執行機関が犯罪の証拠を集めたり、犯罪者を特定するための罠として機能している可能性があるという意見もチャットメッセージで交わされていることが確認されました。
LockBitサービス停止後の最初の2週間について
LockBitの新たなリークサイトが再び登場したことは、一部にとってはLockBitが復活した証と見なされたかもしれません。しかし、他の人々にとっては、こうした新しいサイトを巡る展開も、かつてLockBitSuppがExploitやXSSといったフォーラムから追放されたという事実を覆すものではありませんでした。「dealfixer」と名乗るアクセスブローカーはアクセスを提供する広告を出していましたが、LockBitの関係者とは一切関わりたくないと明言していました。これには2つの可能性があります。1つは法執行機関によって何かしらの方法で安全性が損なわれた攻撃グループと関わりたくなかったため、もう1つは「michon」という人物が公に不満を述べた後、LockBitSuppから適切な報酬を得られなかったと主張しているため、LockBitとの協力を望まなかったことです。
オペレーション・クロノスから2週間が経過した後、LockBitSuppに対する新たな仲裁スレッドも登場しました。この場合、「n30n」という名前を使用する別の初期アクセスブローカーが、今回の騒動に関連した支払い損失を理由にramp_v2のフォーラムでクレームを提起したことに起因していました。
そして「SDA」という名前の別の攻撃者が登場し、LockBitSuppが他のサイバー犯罪フォーラムでも追放されたことへの仲裁を展開しました。これらの仲裁は、今回のLockBitを巡る混乱の影響として退けられましたが、その一方で、攻撃者たちの間で交わされたチャットログがいくつか公開され、彼らの中にはLockBitへの所属も確認しました。こうした仲裁に応える形で、LockBitSupp自身も、全てのRaaS活動を精査し、潜在的な内部犯を特定した上で、支払いがないRaaS利用者を管理パネルから削除したと明らかにしました。さらに、LockBitのRaaS利用者になるためには新たな預金が必要とされました。
LockBitの復活を巡る多くの論評や、この攻撃グループが以前より強く戻ってくるという話もありましたが、実際にはこれらへの反証も増え続けていました。特に注目すべきは、ランサムウェア開発者のTelegramチャンネルのあるユーザが、LockBitが過去の被害者情報を再投稿してこうした改善を取り繕っている点を指摘したことです。新たなリークサイトに掲載された被害者情報については、LockBitの混乱後の活動に関する次のセクションでさらに詳しく取り上げます。
オペレーション・クロノス後のLockBitによる活動について
法執行機関によるオペレーション・クロノスが進行している間も、トレンドマイクロでは、テレメトリデータを継続的に監視し、LockBitの感染状況にどの程度の影響が与えられたかを確認していました。トレンドマイクロのテレメトリデータによると、下図のとおり、LockBitの実際の検出台数には顕著な減少が見られました。なお、ここでは、セキュリティ調査で使用されたエミュレーションデータや、流出したLockBitビルダーによる検出は除外されています。また、さらなる攻撃に関する投稿を受けてこれらも追跡するために新たなオニオンサイトも含めたところ、オペレーション・クロノス後の3週間で、小規模なクラスタが1つだけ確認されました。
この小規模なクラスタは、2024年2月27日にオペレーション・クロノス後のLockBit関連活動の最初の兆しとして観測されました。トレンドマイクロでは、韓国を対象とした低ボリュームの攻撃キャンペーンとして確認しました。
新たなLockBitオニオンサイトへのリンクを含む身代金要求の脅迫状が以下のファイル内容として確認されました。
SHA256: 1dab85cf02cf61de30fcda209c8daf15651d649f32996fb9293b71d2f9db46e1
今回確認された攻撃での検体解析による感染チェーンを見ると、あまりポピュラーでない圧縮ファイル形式「ALZip」が使用されていました。これにより、LockBitの実行ファイルが起動されます。ALZipは、メールを通じて被害者に配布されます。
身代金要求の脅迫状と実行ファイルの検体は、韓国のユーザによってVirusTotalへ提出されたものです。双方は、2つの異なる攻撃に由来するものと考えられています。さらなる調査を通じて、シンガポールに拠点を置く顧客からも、同様の実行ファイルが検出・ブロックされたケースが特定されました。この顧客は、シンガポールが拠点ですが、取得された添付ファイルのファイル名は韓国語となっていました。
이력서14$$$$$입사지원서_240226$$$$$ 누구보다 열정적인 인재입니다.exe
LockBitのチャットページから得られた被害者との会話の一部では、要求された身代金が2,800米ドルであることが示され、LockBitの交渉で通常期待される額よりも大幅に低い金額となっていました。これは、現金の流れを何とか維持しようとする小規模な利用者によるものかもしれません。LockBitSuppが単独で運営しており、全てが正常に機能しているという外観を維持しようとして、なおかつ特にLockBitSuppが被害者情報をリークサイトに暴露できる状況であれば、身代金の額はより高くなると予想されるからです。
オペレーション・クロノス後のLockBitによるリークサイト活動について
オペレーション・クロノスの後、LockBitがこの試練を乗り越えて活動を続けられるかどうかについて多くの議論がありました。表面上は、LockBitが以前と変わらずに活動しているように見えますが、新たなリークサイトに掲載された被害者とその結果を詳しく調べると、全く異なる状況が浮かび上がってきます。本稿執筆の時点で、オペレーション・クロノス後に新たなリークサイトに掲載された被害件数は95件となっています。
これまでのLockBitの投稿や暴露されたリークサイトでのデータのタイムスタンプを検証することにより、トレンドマイクロの調査で明らかになったいくつかの注目すべき点は、以下のとおりとなります。
- 被害者のうち3分の2以上が以前のリークサイトから再アップロードされたことが確認され、これらの被害者への攻撃はオペレーション・クロノス以前に行われたものでした。
- 2024年3月の中旬には、LockBitの新たなリークサイトに投稿される被害者情報の多くが、他の攻撃グループによって最近公開されたものであることが確認されました。その大部分はランサムウェアALPHVによる被害者のものであり、さらに1件はランサムウェアRansomHubによる被害者でした。
- 攻撃がいつ行われた可能性があるかを確認する前に、被害者7件の情報が削除されていました。
- 14件の被害者情報はまだ公開されておらず、LockBitの新たなリークサイト上の投稿以外に実際の攻撃日を確認できる公開データは見つかりませんでした。
オペレーション・クロノス後に確認されたもう1つの興味深い点は、国別の被害者分布がLockBitの以前の運用時と比較してどう変化したかです。オペレーション・クロノス後、LockBitSuppは、被害者数を見かけ上増やそうとしているようで、特にオペレーション・クロノスに参加した法執行機関のある国々からの被害者の情報を積極的に投稿しています。これは、妨害の責任者に対して強く反発し、復帰を果たすメッセージを強調しようとする試みである可能性があります。
新たなリークサイトが正常な状況であることを装うために操作されているという仮説をさらに支持するのは、被害者が一括で追加されていることです。これは、新たなリークサイトが一人で管理されている可能性を示しており、通常のRaaS利用者たちによって示される状況とは大きく異なります。
法執行機関に掌握されたリークサイトでのカウントダウンタイマーが終了する直前に、いくつかの被害者情報が新たなリークサイトから削除されるケースも確認されました。これは、被害者が支払いを行った結果である可能性が指摘される一方、全体を考慮するならば、暴露すべきリークデータが存在しないために削除されただけで、これもまた被害件数を水増しするための1つの手法であった可能性があります。
また、新たなリークサイトで初めて公開された被害者のデータを調査したところ、ファイルの更新日などが最近変更されたかのように操作されていることがわかりました。これはデータが新しく見えるようにするための意図的な変更かもしれません。その意味では、この操作された日付以外にも、実際の攻撃が行われた日付を示唆する情報が残っているかもしれません。
今後予測されるLockBitの活動について
今回、オペレーション・クロノスを通じて、ランサムウェア対策に新たなアプローチを目の当たりにすることができました。この作戦活動は、ランサムウェアのビジネスモデルを乱し、弱体化させることが、技術的な対策を施すよりもはるかに大きな効果をもたらすことも明らかにしました。また、LockBitSuppが逮捕者の中には含まれていなかったとしても、RaaS利用者たちは、今回公表された情報を踏まえ、他のランサムウェア攻撃グループへの参加だけでなく、そのリスキーな事業形態から利用自体も見直すかもしれません。
オペレーション・クロノスのようなアプローチから学べる重要な教訓としては、多数の法執行機関と協力し、業界内の信頼できるパートナーとも連携したこと、さらに最も重要な教訓として、忍耐を持って取り組むことが悪名高いサイバー犯罪グループに対抗する上でいかに効果的であるかが示された点だといえます。従来方のセキュリティ対策であれば、攻撃グループはすぐに回復していた可能性が高かったでしょう。今回のような多角的な妨害のアプローチを率先して展開したイギリスの国家犯罪庁(NCA: UK’s National Crime Agency)は、将来のセキュリティ対策がどのように進められるべきかについて新たな基準を示したともいえます。
一方、LockBitが完全になくなったと断言する前に、過去の実行された法執行機関の作戦活動を振り返り、1か月という期間がそのような判断を下すには十分かどうかを検討する必要もあるでしょう。過去には、EmotetやQakbotのテイクダウンのような他の注目された作戦活動でも、当初は大成功を収めたかに見えましたが、数か月後には再び攻撃活動が現れました。無論、EmotetやQakbotのようなボットネットやローダと、LockBitのようなRaaSグループを単純に比較すべきではないでしょう。ボットネットやローダでは、その機能がすべてを物語り、優れていれば攻撃者は再び利用します。RaaSグループの場合、再建にはさらに多くの考慮が必要です。特に、評判や信用がRaaS利用者を引き付ける重要な要素であり、これらが失われると、RaaSビジネスを再び立ち上げるのは容易ではありません。こうしたことが、ランサムウェア攻撃グループが再活動する際に同じ名前を使わず、名称を変更してリブランディングすることを選ぶ理由となっているのでしょう。また、他の攻撃グループへの参加選択肢が豊富にあるのも考慮されるべき要因です。
LockBitの攻撃グループは、創設時に業界をリードし、革新をもたらしたことは事実ですが、法執行機関によるオペレーション・クロノスは、彼らのRaaSビジネスの中で最も重要な要素である「ブランド」に打撃を与えました。
現在は競争が均等化しており、2023年のLockBitブランドの停滞に続き、今回の作戦活動によってさらに評判が損なわれたことで、RaaS利用者は、信頼が損なわれたLockBitにリスクを冒して戻る価値があるかどうかを現在も真剣に考えていることでしょう。
参考記事:
Unveiling the Fallout: Operation Cronos' Impact on LockBit Following Landmark Disruption
By: Christopher Boyton
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)