The Hacker Newsは2月26日(現地時間)、「LockBit Ransomware Group Resurfaces After Law Enforcement Takedown」において、ランサムウェアグループ「LockBit」が復活したと報じた。英国家犯罪対策庁(NCA: National Crime Agency)が2024年2月20日(英国時間)に摘発を発表してから1週間を待たずして活動を再開したことになる(参考:「被害最多のランサムウェアグループ「LockBit」摘発、日本も作戦支援 | TECH+(テックプラス)」)。

  • LockBit Ransomware Group Resurfaces After Law Enforcement Takedown

    LockBit Ransomware Group Resurfaces After Law Enforcement Takedown

LockBitが自ら摘発について説明

英国家犯罪対策庁(NCA)はLockBitの関係する主要な管理環境を摘発し、ダークWebサイトを掌握、コンテンツを変更していた。しかしながら今回、LockBitは新しいインフラストラクチャを使用してダークWebサイトを新設した。この新しいダークWebサイトには12の被害者がリストアップされており、復活したことが確認されている。

また、LockBitの管理者は自分たちに何が起きたのかを報告している。その全文をマルウェアの収集サイト「vx-underground」が「samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt」にて公開している。その概要は次のとおり。

  • 2024年2月19日、サーバ2台にHTTP502エラーが発生。nginx、mysqlを再起動したが復旧せず。PHPを再起動したところ復旧。原因を調べずに放置。その後、HTTP404エラーが発生。SSH経由でサーバーに入ろうとしたが、認証に失敗。ディスク上のすべての情報が消去された
  • 原因は慢心によるPHPの更新忘れ。PHPバージョン8.1.2を使用していたため、CVE-2023-3824の脆弱性またはゼロデイの未知の脆弱性により法執行機関に侵害された可能性がある。現在はPHPバージョン8.3.3を使用している
  • 米国連邦調査局(FBI: Federal Bureau of Investigation)が攻撃を決意した理由は「https://fultoncountyga.gov/」から窃取された情報を公開されたくなかったから。そこには米国選挙に影響する情報がある。FBIの攻撃がなければ即日公開したかもしれない。われわれは.govセクター(米国連邦政府と地方行政機関のトップレベルドメイン)をもっと頻繁に攻撃しなければならない。それによりFBIがわれわれに攻撃する能力を持っているのか正確に知ることができる
  • PHPをインストールしていない他のサーバは影響を受けていない。企業から窃取した情報も引き続き提供(公開)できる
  • サーバ上には20,000の復号鍵が存在したが、法執行機関は1,000しか主張できていない。なぜならそのほとんどは保護されており、法執行機関は使用することができない。また、FBIが取得した復号鍵はほとんど役に立たない。5年間の運用全体の複合プログラムの数は約40,000で、FBIはその2.5%を取得した。また、データベースからパートナーの生成されたニックネームを取得したが、それらはフォーラムの本当のニックネームとは関係ない
  • FBIは私を励ましてくれた。私は怠け者をやめてすべての「build locker」が最大限の保護を受けられるようにする。今後の攻撃では復号プログラムはすべて手動モードで作成されるため、FBIは1つも復号プログラムを無料で入手することはできない
  • 私のパートナーの何人かが逮捕された。しかしながら、私はそれを疑っている。おそらく逮捕者は暗号資産ロンダリングや暗号資産ミキサーの関係者だと思う。そのせいで私のパートナーとみなされたのだろう。なお、「Basssterlord」は逮捕された男ではない

結論

上記のLockBit管理者のメッセージの真偽は不明だが、FBIに対して強い対決姿勢を見せていることが伺える。また、今後の活動についても「怠け者をやめる」と宣言しており、これまで以上に危険性が増したものとみられる。

すべての企業や組織にはさらなる攻撃に備えたセキュリティの強化が望まれており、法執行機関には安全なインターネット環境の実現のために速やかな主犯格の検挙が期待されている。