米司法省によると、20歳のロシア人をランサムウェアLockBitによる攻撃を共謀した疑いで逮捕、起訴したということです。訴状によると日本企業へのランサムウェア攻撃にも関与していたようです。
被害企業の1社は東京にヘッドクォーター
逮捕、起訴されたのはロシア人のルスラン・マゴメドビッチ・アスタミロフ被告で、チェチェン共和国出身の20歳だということです。アリゾナ州で逮捕されたようですが、米司法省は逮捕の経緯の詳細を明らかにしていません。ただ、訴状によると今年5月13日頃、アリゾナでFBIの任意聴取に応じ、その際、FBIがiPhoneやiPadなどのデバイスやUSBを押収したようです。
アスタミロフ被告は少なくとも2020年8月から2023年3月にかけて5件のLockBitランサムウェア攻撃に関与しており、うち1件は東京にヘッドクォーターがある企業だということです。同社への攻撃は2020年9月15日ころに行われているようです。この企業は身代金の要求を拒否し、LockBitのリークサイトに窃取データが一時公開されたようです。
Gemini Advisory の2020年9月16日のブログは、同社アナリストの調査として2020年9月14日にLockBitの背後にいるハッカーチームがロシア語圏のダークウェブフォーラムにリークサイトを公開したことを明らかにしています。そのリークサイトには安川電機と他1社の2社のデータが公開されていたということです。安川電機は2020年8月19日に中国の瀋陽にある現地工場がランサムウェアにより操業が1日停止したことが報じられており、その際に窃取されたデータが9月14日にダークウェブに登場したLockBitのリークサイトで公開された可能性があります。ただし、安川電機の本社は北九州市ですのでアスタミロフ被告が攻撃に関与した被害企業とは別とみられます。アスタミロフ被告はGemini Advisoryのアナリストが指摘するLockBitの背後にいるハッカーチームのメンバーなのかもしれません。
ニューアークのFBIサイバー犯罪対策本部が捜査
訴状によるとFBI(米連邦捜査局)は2020年3月からLockBitを捜査しているということです。LockBitは2019年9月に観測されたABCDランサムウェアを前身とし、2021年にLockBit2.0として観測され、2022年にはLockBit3.0へバージョンアップした経緯があります。米司法省によるとLockBitランサムウェアの亜種が出現したのは2020年1月だということです。米当局はアスタミロフ被告のほかにLockBitにかかる罪状で2人を起訴しています。1人はミハイル・ワシリエフ被告、もう1人はミハイル・パブロビッチ・マトヴェーエフ被告です。ワシリエフ被告はロシアとカナダの二重国籍を有し、昨年11月にカナダで逮捕され、米司法省によるとアメリカへの引き渡しのためカナダで拘留されているということです。マトヴェーエフ被告はロシア出身でLockBit、Babak、Hiveランサムウェアによる攻撃に関与したとして今年5月に起訴されました。マトヴェーエフ被告は逮捕されておらず、FBIが手配書を作成して情報提供を呼びかけています。
これら一連のLockBitにかかる捜査はニュージャージー州のFBIのニューアーク現地事務所のサイバー犯罪対策本部が行っており、起訴はニュージャージー州の地方裁判所に行われています。この捜査にはユーロポールやヨーロッパ各国の機関のほか警察庁も協力をしているということです。
ランサムウェア攻撃はRaaSと呼ばれて、役割を分担してビジネス化してサイバー犯罪が構築されている状況がありますが、その実態は必ずしも明らかではありません。米当局が起訴した3人がどのような役割を担っていたのかを明らかにし、実態を明確にしていくことがサイバー犯罪の抑止につながると思います。
【出典】
https://thehackernews.com/2023/06/20-year-old-russian-lockbit-ransomware.html
https://geminiadvisory.io/lockbit-launches-ransomware-blog/