出典: ANP via Alamy Stock Photo
悪名高いランサムウェアギャングのLockBitは、今週、未知の敵によってネットワークが侵害され、再び挫折したようです。
5月7日、複数のセキュリティ研究者がLockBitのダークウェブリークサイトが変更されたことを観察しました。被害者の組織を一覧表示する代わりに、サイトにはシンプルなメッセージ「犯罪をしないでください。犯罪は悪いものです。プラハより愛を込めて」と、zipアーカイブへのリンクが表示されています。
このアーカイブは、Qualysによる分析によれば、LockBitのアフィリエイトパネルからのSQLデータベースファイルを含んでいます。一方、Coalitionの研究者たちは、このファイルにはランサムウェア・アズ・ア・サービスの運営からの広範な内部データが含まれており、2024年12月19日から2025年4月29日までの間に被害者の組織との4,000以上のチャットと約60,000のビットコインアドレスが含まれていると指摘しました。
研究者たちは、ファイルには70以上のLockBit管理者とアフィリエイトの情報も含まれていると指摘しました。これにはプレーンテキストのパスワード、LockBitランサムウェアコードの個別のビルドと構成が含まれています。しかし、漏洩したデータには復号ツールや秘密鍵は含まれていませんでした。
LockBitにさらなる問題
LockBitのネットワークの侵害の背後に誰がいるのかは不明です。Bleeping Computerの報告によれば、同じ「犯罪をしないでください」というメッセージが、先月侵害されたEverestランサムウェアギャングのリークサイトにも残されていました。
関連:Insight Partnersのデータ漏洩: 予想以上の影響
この侵害は、かつて脅威の風景で最も多産で有名なRaaS運営だったLockBitにとって最新の挫折を示しています。このギャングは、国際的な法執行努力「オペレーションクロノス」によってネットワークが侵入され、ドメイン、インフラストラクチャ、復号ツール、ソースコード、その他の重要なデータが押収された2024年初頭に大規模な混乱を経験しました。
LockBitは、取り締まり後の数ヶ月間に復活を試み、いくつかの著名な組織を侵害したと主張しました。しかし、Trend Microなどのサイバーセキュリティベンダーは、その試みは失敗したと述べました。さらに、2024年のオペレーションクロノスの後期段階では、いくつかのLockBitメンバーの逮捕と、Dmitry Yuryevich Khoroshevに対する告発と制裁が行われました。彼はロシア国籍で、「LockBitSupp」として知られるRaaS運営の指導者とされています。
LockBitデータが示す洞察
公開されたSQLデータベースファイルは、LockBitの運営と活動に関する洞察を提供します。例えば、Informa TechTargetの出版物LeMagITによる分析によれば、5ヶ月間の期間中、LockBitの被害者の大多数はアジア太平洋地域(35.5%)におり、北アメリカに拠点を置く被害者組織はわずか10.8%でした。
関連:Operation PowerOFFが9つのDDoS-for-Hireドメインを停止
LeMagITの分析は、この期間中に非常に活動的だったアフィリエイトはわずかであり、これはオペレーションクロノス後にギャングの評判が低下したことを示唆しています。身代金の要求額は通常2万ドル未満であり、Royal MailやTSMCのような主要企業に対する報告された攻撃での巨大な8桁の要求額とは程遠いものでした。
Qualysは木曜日のブログ投稿で、漏洩したLockBitデータからのさらなる洞察を提供しました。身代金の要求額は「小規模な事件」では4,000ドルから、暗号化とデータ抽出を含む大規模な攻撃では150,000ドルに及びました。さらに、Qualysは、LockBitの関係者がビットコインではなくモネロで支払いが行われた場合、身代金の要求額に最大20%の割引を提供することがあると指摘しました。
「これは単なるランダムな特典ではなく、モネロのプライバシー重視の設計による意図的な選好を示しています」とQualysの脆弱性研究マネージャーであるSaeed Abbasiは書いています。
Qualysはまた、漏洩がギャングの戦術と戦略の一部を明らかにした方法を強調しました。例えば、LockBitの関係者は被害者のドメインコントローラインフラストラクチャから管理者を削除することに言及しており、Abbasiはこれが誤設定されたまたは過度に特権を持つドメインコントローラを悪用したことを示唆していると述べました。
関連:「CoGUI」フィッシングキットが中国のハッカーによる日本への攻撃を支援
アフィリエイトはまた、組織のバックアップやNASデバイスをターゲットにすることを頻繁に議論しました。Abbasiは、Veeamバックアップソフトウェアのいくつかの既知の脆弱性が過去数年間にわたりランサムウェアの関係者によって悪用されてきたと指摘しました。漏洩したデータにはバックアップやNAS環境の直接的な技術分析は含まれていませんが、LockBitのビルドと構成に関するファイルには、ランサムウェアがターゲットとする「プロセス/サービスキルリスト」に関する貴重な情報が含まれています。
「これらのリストは、バックアップとリカバリーエージェント、ディスク暗号化ユーティリティ、および企業バックアップソリューション(例:Citrix Encryption Service UtilityおよびStorage Sync Agent)をターゲットにして、最大限のファイル暗号化を確保し、復旧の可能性を最小限に抑えます」とAbbasiはDark Readingに語っています。「これらのサービスを無効化または終了することで、ランサムウェアはバックアップの実行やデータの復元を防ぎ、攻撃の全体的な影響を増大させます。構成の項目リストは過去にもLockBitに関連していることが知られています。」
Qualysは、既知の悪用された脆弱性の緩和とバックアップおよびNASインフラストラクチャの保護、ネットワークの他の部分からの隔離を優先するよう組織に促しました。ベンダーはまた、より強力なアクセス制御と資格情報の実装を推奨しました。