英国国家犯罪庁主導の多国間合同法執行作戦でオフラインにされてから1週間後、LockBitの主要運営者、または主要運営者を名乗る人物が再登場し、法執行機関を挑発し、新たなインフラストラクチャとセキュリティを構築した。新しいリークサイトには、すでに被害者とされる5人の詳細が含まれている。
ロックビットは、多作ギャングのサーバーインフラストラクチャを標的としたおとり捜査「クロノス作戦」で2月19日に捜査され、ソースコード、復号ツール、被害者データなどのデータを掌握し、暗号資産を押収・凍結し、ポーランドとウクライナで2人が逮捕された。 。
しかし、ロックビットとして署名された長いメッセージの中で、ギャングの首謀者とされる人物は、NCAとそのパートナー(彼らは終始FBIと呼んでいる)が、NCAとそのパートナーであることを認めたものの、クロノス作戦に参加した機関による主張の大部分を拒否した。 – パッチが適用されていない PHP の脆弱性を介してサーバー インフラストラクチャにアクセスしました。
LockBit は、2 月 19 日の早朝に問題に気づき始めたが、PHP を再起動した後は正常に戻ったと主張しました。 「私はそのことにあまり注意を払いませんでした。なぜなら、5年間(原文どおり)お金で泳いでいたので、私は非常に怠け者になっていたからです」と彼らは書いています。
ロックビットはさらに警察を嘲笑し、それをターゲットにしたNCAとFBIのハッカーたちがランサムウェアの世界で働いてもっと儲かるかもしれないとほのめかし、一部の人物の身元を争うなど、削除後に行われた主張の多くに反論した。逮捕された人々は、ロックビット版の物語では低レベルのマネーロンダリングに過ぎなかった。
彼らはまた、当局がロッカーの完全なコードベースなどを実際に所有しているわけではないと主張し、被害に遭った侵害の規模を完全に否定した。
このメッセージはさらに、この削除は、ジョージア州フルトン郡(アトランタ)のITシステムに対する最近のロックビット攻撃によって引き起こされたものであると推測している。ロックビットは、そこからドナルド・トランプ元大統領に対する訴訟に関する情報を盗み出し、ロックビットは、2024年のアメリカ大統領選挙の結果を台無しにする可能性があると考えているとしている。大統領選挙。
ロックビットは「個人的にはトランプに投票するだろう」と付け加えた。 彼らが米国国民ではないことはほぼ確実ですが、その可能性は低いように思えます。
「FBIの行動はすべて、私のアフィリエイトプログラムの評判を失墜させ、私の士気を低下させることを目的としています。彼らは私に辞職して仕事を辞めさせようとしています。彼らは私を見つけて排除できないので私を怖がらせたいのです。私を止めることはできないのです」と彼らは述べた。言った。
「FBIが私を元気づけ、元気を与え、娯楽や浪費から遠ざけてくれたことをとてもうれしく思っています。」
信頼できないナレーター
サイバー犯罪者のランサムウェア運営者として、LockBit のメッセージは、事実上のいかなる意味でも記録を正したいという願望によって動機付けられたものではないことを覚えておくことが重要です。 LockBit が有害なサイバー攻撃を継続していたにもかかわらず、活動としてはすでに衰退していたことを考えると、その再浮上に関するメッセージは実際にはこの文脈で読まれる必要があります。
「メッセージの目的は事実を伝えることではなく、強さを誇示するためにロックビットブランドのPRと風評被害の抑制に取り組むことだ」とウィズセキュアのシニア脅威アナリスト、スティーブン・ロビンソン氏は述べた。
「これは、LockBitなどのRansomware-as-a-Service(RaaS)ブランドの真の強みである資産、つまりブランド自体、運営を行う関連会社、およびグループの金融資産を標的とした非常に包括的な削除でした。
「このサイバーイベントは、LockBit 関連の個人を逮捕するための、注目を集める現実世界の法執行機関 (LEA) の活動と連携して行われました。 押収されたサイトは、LEA が関連会社に警告メッセージを直接送信するために使用されました。 LockBitの漏洩サイトとブランドは、LEAによってLockBitとその関連会社を徹底的に嘲笑し中傷するために利用され、LEAは200以上の暗号通貨ウォレットと1,000以上の復号キーを押収したと述べた」と付け加えた。
予想される展開
Semperis の英国およびアイルランド担当副社長、ダン・ラティマー氏は、LockBit が急速に再浮上したことにはまったく驚かなかったと述べた。
「このサイバー犯罪グループは、昨年だけで身代金として 1 億ドル以上を盗みました。 世界的な法執行機関の派遣に当惑させられた後、彼らは黙って黙って行動するつもりはなかった」と彼は語った。
「全体として、防御側と敵対側の戦いは 24 時間体制であり、グループ全体が再浮上するか、そのメンバーが他のランサムウェア グループに加わるのは時間の問題でした。
「私は先週、Semperis の顧客とパートナーに対して、LockBit が再び現れるという事実を見失わないよう、常に侵害を想定した考え方を持つよう警告しました。 脅威アクターに対する警戒を決して緩めることはできません。従業員、顧客、パートナーの重要な資産を保護するには、バックアップと復旧計画を含む運用回復力の構築が不可欠です」とラティマー氏は述べています。
ルーブリック EMEA CISO リチャード・キャシディ氏は次のように付け加えました。 ロックビット、混乱を任務とする法執行チームよりもやや範囲が広い。 ロックビット 彼らは作戦の成功により非常に潤沢な資金を持っており、米国の組織だけで約9,100万ドルを集めているため、彼らは組織を再編し、新たな戦術、技術、手順を開発し、混乱につながった失敗から学び、適応する経済力を持っている。したがって、必要に応じてアプローチを再発明します。
「法執行機関の混乱とランサムウェア グループの復活という周期的な性質は、サイバー犯罪エコシステム内のより広範な問題を示しています。 根本的な問題は、金銭的インセンティブ、仮想通貨取引の相対的な匿名性、未対処のままの脆弱性の無限の発見など、ランサムウェア攻撃の背後にある要因にあります。
「それまでは、混乱と復活の繰り返しのサイクルが近い将来続くことが予想されます」とキャシディ氏は述べた。