非常に活発な脅威であり続けているにもかかわらず、舞台裏での問題や争いを含む一連の挫折により、LockBit は最後の数か月間動揺しており、侵害されてダウンするずっと前に、その活動は下り坂になっていたようです。トレンドマイクロの研究者らによると、多国籍の法執行機関によるおとり捜査によるもの。
トレンドマイクロの研究チームは、クロノス作戦の主導機関である英国国家犯罪庁(NCA)と協力し、ギャングのインフラとロッカーが解剖されて干され、作戦に自由にアクセスできるよう技術支援を提供した。
トレンドは、このギャングがサービスとしてのランサムウェア(RaaS)の先駆者から大幅に規模を縮小した活動に至る過程(管理者は特定の地下フォーラムから締め出されさえした)で、内部抗争などのサイバー犯罪活動が直面する課題を浮き彫りにしたと述べた。技術的な問題や風評被害。
「Lockbit は間違いなく世界最大かつ最も影響力のあるランサムウェア活動ですが、今回の混乱により、すべての犯罪関連組織が今後の関与を強く再考する必要があることが明確になることを願っています。また、この組織と提携するにあたって、これらの関係者が法執行機関の行動を受けるリスクが高まります」と、トレンドマイクロの前方脅威調査担当ディレクターのボブ・マクアードル氏は述べています。
セキュリティインシデント
ここ数日間、LockBit の自社の運用上のサイバー セキュリティに対する明らかにやや緩いアプローチについて議論があり、最終的にはパッチが適用されていない PHP の脆弱性を介して侵害された可能性があります。セキュリティ上の問題。
セキュリティ専門家の目から見ると、ギャングの問題の一部は内部関係者による脅威の範疇に当てはまります。 LockBit の分散型で半匿名の性質と、その関連会社とオペレーターのやり取りのおかげで、これはほぼ避けられない問題でした。
その衰退期は、不満を抱いた開発者がギャングのロッカーのビルドを漏洩した2022年9月に始まったようだ。 このインシデントは、LockBit がもたらした以上の影響を及ぼし、他社が独自のクローンを開発し、独自の RaaS 運用を開始するための参入障壁を下げ、LockBit が持つ技術的優位性を大幅に妨げました。
このインシデントはセキュリティ業界全体に波及効果をもたらし、セキュリティ業界は突然、LockBit ペイロードを使用する他の同様の操作に対処したり、被害者に対して完全に LockBit になりすましていることに気付きました。
そのような事件の 1 つでは、Spacecolon と名乗るグループが、被害者に LockBit と交渉しているかのような印象を与える電子メール アドレスと URL を使用しました。 Spacecolon は、非常によく似た外観のリーク サイトを自社で構築しました。
LockBit の運営者にとって、漏洩はこれ以上にひどいものではありませんでした。内部の問題を部外者に知らせることは、運営会社や潜在的な関連会社にとって懸念事項であり、他のギャングにとっても大きな関心事だっただろうからです。
トレンドマイクロの研究者らは、「このような漏洩は、その本質、つまりセキュリティ上の欠陥として非難されるべきだ」と書いている。 「コアビルドが漏洩する可能性がある場合、関連会社は他にセキュリティ上の懸念があるのではないかと疑問に思うかもしれません。 ソフトウェア会社におけるこのような事件は、内部プロセスと管理の完全な失敗、あるいはさらに悪いことに、それらが欠如しているとみなされるでしょう。」
また、LockBitSuppというハンドルネームで活動する同社の主要広報担当者を含む運営者らが勇敢な顔をしようとしていたにもかかわらず、この漏洩はLockBitのブランドにも損害を与えた可能性がある。 この時点で、ギャングの中心メンバーは、RaaS の主要な「サプライヤー」としての苦労して勝ち取った地位を強化し、強化するために、何か特別なものを引き出す必要があることに気づいた可能性があります。
彼らがこれをやったのか? いいえ。トレンドマイクロの洞察によると、ロッカーのコードの開発は停滞しました。 おそらく研究者らは、ギャングが実際に主要な開発者の一人と袂を分かったのではないかと推測した。
トレンドマイクロは、その後の数カ月を通じて、いくつかの要因により、ギャングに対する信頼感の「低下」が観察されたと述べた。 たとえば、2023 年 4 月、このグループはダークウェブのリーク サイトに多数の新しい投稿を追加しましたが、その一部はでっちあげのデータを使った偽の被害者に関連したものでした。 もちろん、これが内部テスト中に発生したエラーである可能性はありますが、トレンドマイクロによれば、同様にもっともらしいシナリオは、投稿が本を捏造し、傍観者にロックビットが依然として成功しているという印象を与える試みであったということです。
2023 年を通じて、LockBit のインフラストラクチャ自体はさらに不安定になったようで、ダークウェブのリーク サイトを観察した人たちは、アクセス性と安定性に関するエラーが頻繁に発生するのを目撃しました。 トレンドマイクロでは、リークサイトミラーにアクセスしようとしたときの不一致や誤ったリダイレクトなど、リークサイトミラーに関連する異常な動作も確認しました。
事態は明らかにうまくいっておらず、2023 年 9 月、LockBitSupp は、最低支払い額と固定割引を含む、支払いが被害者のサイバー保険契約でカバーされる金額を下回ってはいけないことを義務付けるなど、アフィリエイト向けの新しいルールを導入することを提案しました。 トレンドマイクロは、ロックビットでは決済成功率が減少しており、運営を悩ませていた問題により、華やかな時代ほど多くの高度なスキルを持ったサイバー犯罪者をアフィリエイターとして引きつけることができなくなっていると示唆した。
もう信仰は不要
「2023年を通じてLockBitが問題を抱えていたことは明らかであり、これがアフィリエイターを惹きつけたり維持したりする能力に悪影響を及ぼしているのは当然だ」と研究者らは述べた。
これにはいくつかの理由があります。 まず、アフィリエイトはプログラムに対する信頼を明らかに失いつつあり、LockBit の運営者はますます無反応になっているように見えました。 身代金の要求を標準化し、収益を制限する新たに導入されたルールが煩わしすぎると感じた人もいるかもしれないし、ロックビットの中枢部の頭脳流出を示唆するロッカーの新リリースの遅れも、気分を害した人もいただろう。
最近では、同様の法執行活動を受けて、ALPHV/BlackCat および NoEscape のクルーの関連会社に LockBit に参加するよう LockBit の運営者から呼びかけたが、わずか 1 年前に人々が登録を求めて叫んでいたことを考えると、「絶望的な雰囲気」が漂っていました。
2024 年 1 月末、ハンドル名 michon と呼ばれるユーザー (初期アクセス ブローカー (IAB) と思われる) が地下 XSS フォーラムに調停スレッドを開設し、LockBitSupp がアクセス料金の支払いを拒否したと主張し、事態は頂点に達したかに見えました。彼らが提供した情報により、ランサムウェアの支払いが成功しました。
みちょんは自分たちだけを責めていることが判明した。 彼らはこのシーンに比較的新しく参入したため、希望する販売条件の概要を適切に説明していませんでした。 しかし、スレッドに投稿が集まるにつれて、XSS の住人は LockBitSupp をオンにし始め、防御を拒否しました。 最終的に、LockBitSupp はランサムウェアの支払額の 10% を michon に支払うことになりました。
トレンドマイクロチームはこのスレッドを検討し、LockBitSuppは特に仲裁人に対して傲慢で軽蔑的な印象を与え、その評判を利用して自分たちの立場を超えた攻撃をしようとしていた可能性が高いと述べた。 彼らは、この種の動作は、自分の能力が大きすぎる他の RaaS オペレータで以前にも見られたと指摘しました。
「この仲裁に関して、LockBitSupp にとってプラスとなるものは何もありません。 悪意のある攻撃者は、同僚、潜在的なアクセス サプライヤー、および関連会社を遠ざけている可能性が非常に高いです」とチームは述べています。
いずれにせよ、LockBitSupp は 1 月 30 日に XSS から禁止され、「リッパー/詐欺師」の烙印を押されました。 同時期にエクスプロイト フォーラムからも禁止されました。
新しいロッカーを開発中
LockBit はこれらの問題に対して何をしていましたか? 調査の過程で、トレンドのチームは、チームがランサムウェア ロッカーの新バージョンに生き残る希望を託しているという証拠を発見しました。トレンドは、これを LockBit-NG-Dev と名付けました。これは、以前のものとは大きく異なる、プラットフォームに依存しないマルウェアです。バージョン。
チームは、この亜種が LockBit 4.0 バージョンの基礎を形成したと考えており、削除にもかかわらずまだ開発が続けられている可能性があります。
LockBit-NG-Dev の主な変更点には次のようなものがあります。
- CoreRT を使用してコンパイルされた .NET コードへの移行。これを導入すると、マルウェアがプラットフォーム間で動作できるようになります。
- .NET コードベースは完全に新しいため、これを検出するには新しいセキュリティ パターンを作成する必要があります。これは、LockBit が生き残った場合、防御側にとって将来の問題になる可能性があります。
- LockBit は、以前に搭載されていた自己伝播機能を削除し、LockBit-NG-Dev は被害者のプリンタ経由で身代金メモを印刷できなくなりました。
- ロッカーの実行日には有効期間が設けられており、トレンド社はこれにより運営者が関連会社の動向を監視し、自動化されたサイバー分析ツールを無視できるようにするためではないかと推測している。
ただし、類似点もいくつかあります。 たとえば、LockBit-NG-Dev には、ルーティング、終了するプロセスとサービス名、回避するファイルとディレクトリのフラグを含む設定がまだあり、暗号化されたファイルの名前をランダムに変更する機能も保持しています。
大きすぎて失敗できませんか?
「LockBit ランサムウェアの背後にある犯罪グループは、過去に成功を収めていることが証明されており、活動全体を通じて一貫して影響力の大きなランサムウェア グループの 1 つでした。 しかし、過去数年間、彼らは物流上、技術上、そして評判上、多くの問題を抱えていたようだ」とトレンドマイクロチームは書いている。
「これにより、LockBit はマルウェアの待望の新しいバージョンに取り組むという措置を講じざるを得なくなりました。 しかし、LockBit の堅牢なバージョンを市場に投入する能力には遅れが見られ、継続的な技術的問題も重なっているため、このグループがトップ関連会社を引き付け、その地位を維持する能力をどれくらい維持できるかはまだわかりません。 それまでの間、LockBit が組織が大きすぎてつぶせないという概念を覆す次の主要グループになることを願っています。」