ランサムウェアLockBitの犯罪インフラが国際捜査により壊滅されたようです。LockBitのダークウェブ上のリークサイトは日本を含む11カ国の国旗がLockBitを包囲している画像に置き換わっています。米司法省はLockBitランサムウェアを壊滅したとアナウンスしています。
極秘で進められたクロノス作戦
イギリスのNCA(国家犯罪庁)によると、NCAはFBI(米連邦捜査局)と緊密に連携し他の9カ国の国際パートナーの支援も受けてクロノス作戦と名付けたLockBitへの捜査を極秘に行ってきたということです。NCAによるとLockBit にはStealbit と呼ばれる特注のデータ抽出ツールがあり、このツールはLockBitの関連会社が被害者のデータを盗むために使用していたということです。クロノス作戦のタスクフォースメンバーが3カ国に拠点を置くLockBitのこのインフラを占拠し、関連会社が所有しているサーバーも停止に追い込んだということです。
さらにLockBitの関係者2人をポーランドとウクライナで逮捕し、関連する200以上の仮想通貨アカウントを凍結したということです。ユーロポール(欧州刑事警察機構)によると、今回の作戦で停止したLockBit関連のサーバーは計34台にのぼり、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、アメリカ、イギリスにあるということです。また、ポーランドとウクライナで逮捕した2人はフランスの司法当局の逮捕状にもとづくようです。
米司法省は、LockBitにより全米の製造業やその他の業界の企業を含む多数が被害を受けたとしてロシア人2人を新たに起訴したことを明らかにしました。アメリカでLockBitに関して起訴されたのは今回のロシア人2人を含め計5人にのぼるということです。今回起訴されたロシア人2人以外の3人については、1人は米国務省の犯罪報奨金プログラムを通じて最大 1,000 万ドルの報奨金の対象となっておりFBIが行方を追っているということです。また、別の1人はロシアとカナダの二重国籍者で現在、カナダでこう留されていてアメリカは引き渡しを待っている状況のようです。さらにもう1人はフロリダ、日本、フランス、ケニアのLockBitによる被害に関連し現在、アメリカでこう留されており、裁判を待っている状況のようです。
NCA、1000以上の復号キーを入手
ユーロポールのリリースによると、LockBit は 2019 年末に初めて出現し、最初は自らを「ABCD」ランサムウェアと呼んでいました。2022 年には世界中で最も多く使用されるランサムウェアとなり、その被害は世界中に広がっているということです。サービスとしてのランサムウェア(RaaS)として活動しており、コアチームがマルウェアを作成して Web サイトを運営する一方、関連会社にコードをライセンスしているということです。LockBitランサムウェアグループは、被害者に身代金を支払わせる手法として従来の二重恐喝に加え、分散型サービス拒否 (DDoS) 攻撃を組み込んだ三重恐喝も行っていました。
NCAによると、今回の捜査で1000以上のLockBitランサムウェアの復号キーを入手しているということです。今後、LockBitにより失われたデータを取り戻す支援も行われるようです。
■出典
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant