LockBit

FBI、英国国家犯罪局(UK National Crime Agency)、欧州刑事警察機構(Europol)は、LockBitランサムウェアの運営者に対する包括的な起訴と制裁を発表し、ロシアの脅威行為者の身元が初めて明らかになった。

米司法省による新たな起訴状とNCAによるプレスリリースによると、「LockBitSupp」や「putinkrab」として知られるLockBitランサムウェアの運営者は、ロシアのボロネジに住むドミトリー・ユリエヴィチ・ホロシェフ(31)というロシア人であることが確認され、このギャングの活動の一環として1億ドルを稼いだと伝えられている。

“LockBitランサムウェアグループの管理者であり開発者であるロシア国籍のドミトリー・ホロシェフ(写真)に対する制裁は、米国財務省の外国資産管理局(OFAC)およびオーストラリア外務省とともにFCDOによって本日発表される “と国家犯罪庁は発表した。

「ホロシェフ(別名LockBitSupp)は、匿名性を利用し、彼の正体を明らかにできた者に1000万ドルの報奨金を提供していたが、現在、一連の資産凍結と渡航禁止の対象となっている。

本日の発表には、資産凍結と渡航禁止を含むホロシェフに対する制裁も含まれている。

「LockBitの管理者であり開発者であるロシア国籍のホロシェフ氏は、現在、米国財務省外国資産管理局(OFAC)およびオーストラリア外務貿易省とともに、英国外務・連邦・開発局による一連の資産凍結および渡航禁止措置の対象となっています。

身代金の支払いは制裁を破り、企業に政府からの罰金を課す可能性があるため、これらの制裁はランサムウェアの運営に大規模な混乱を引き起こすだろう。

過去には、同様の制裁によって、制裁を受けたランサムウェアの運営に対する身代金の支払いに協力しなくなったランサムウェアの交渉者もいた。

米国はまた、司法のための報奨プログラムの一環として、LockBitSuppの逮捕および/または有罪判決につながる情報に対して1000万ドルの報奨金を提供している。

法執行機関はまた、ロックビットのインフラをハッキングして押収したことで、以前に発表されたよりも多くの復号鍵を得ることができたと発表した。

ロックビットの他の5人のメンバーが米国政府によって起訴されており、その中にはアルトゥール・スンガトフ、イワン・コンドラチエフ(バステルロード)、ルスラン・マゴメドビッチ・アスタミロフ、ミハイル・マトヴェエフ(ワザワカ)、ミハイル・ワシーリエフが含まれる。

ミハイル・ワシーリエフは以前に逮捕され、4年の実刑判決を受け、ルスラン・アスタミロフは裁判待ちの身柄拘束中である。

LockBitの盛衰

LockBitのランサムウェア・アズ・ア・サービス(Raas)作戦は2019年9月に開始され、最初は「ABCD」と名乗り、後にLockBitとしてリブランディングされた。

このサイバー犯罪作戦は、暗号化装置とTor交渉、データ漏洩サイトを開発・維持し、企業ネットワークをハッキングし、データを盗み、デバイスを暗号化するアフィリエイト(「広告主」)を募集した。

この取り決めの一環として、ロックビットの運営者は身代金の支払いの約20%を得て、残りはアフィリエイトが持っていた。

この作戦は、LockBitSuppとして知られる公然のオペレーターによって運営されており、現在ではロシア語圏のハッキング・フォーラムに頻繁に出入りし、ジャーナリストや研究者に自分の犯罪組織について話すことに喜びを感じていたホロシェフであることが知られている。

当初は中国から活動していると主張していたが、今日の暴露でLockBitSuppがロシア国籍であることが判明しても驚くにはあたらない。

LockBitはすぐに最大かつ最も活動的なランサムウェアの作戦となり、2024年2月まで、ギャングのデータ流出サイトと194の関連会社によって新しい被害者が絶え間なく発表された。

しかし2月、「Operation Cronos(クロノス作戦)」として知られる法執行機関の行動により、データ漏洩サイトやそのミラー、アフィリエイト・パネルをホストする34台のサーバーを含むLockBitのインフラがダウンし、ランサムウェア一味は大きな混乱に見舞われた。この措置により、法執行機関は被害者から盗まれたデータ、暗号通貨アドレス、復号化キー、その他ギャングに関する多くの情報を回収することもできた。

法執行機関は当初、Operation Cronosの一環として1,000個の復号鍵を入手できたと述べていましたが、本日の発表で、さらに1,500個の復号鍵を入手できたことが明らかになり、LockBitの被害者が無料でファイルを復元できるよう支援を続けています。

押収されたデータを分析した英国の国家犯罪局によると、ロックビットは世界中の何千もの企業から10億ドルを恐喝する責任があり、司法省はホロシェフとその関連会社が身代金の支払いで5億ドル以上を恐喝したと述べています。

2022年6月から2024年2月にかけて、このランサムウェア作戦は7,000件以上の攻撃を行い、被害を受けた上位5カ国は米国、英国、フランス、ドイツ、中国であったと司法当局は主張している。

ロックビットは現在も活動を続けており、新たな被害者をターゲットにし、最近では新旧のデータを大量に公開している。しかし、NCAによると、「オペレーション・クロノス」によって関連会社が大量に流出し、脅威行為者がリーダーに対する信頼を失ったため、アクティブなメンバーの数が194人から69人に減少したとのことです。

LockBitSuppは、被害者から盗んだ機密データをさらに流出させることで、米国および英国当局への報復を試みる可能性が高いが、これはランサムウェアが最後の日を迎える際の最後の息抜きである可能性が高い。

ACCDFISAとして知られる最初の現代的なランサムウェアが被害者を暗号化し始め、悪名高いCryptoLockerがそれに続いた2012年以来、同じ脅威アクターが異なるランサムウェア名で活動することが絶え間なく続いている。

今回の法執行機関の措置により、LockBitランサムウェアの活動は停止するかもしれないが、今後も同じ脅威行為者が新しい名前で活動を続けることになるだろう。