LockBit

LockBit（ロックビット）はランサムウェアをサービスとして（RaaS）提供するサイバー犯罪グループである。 グループが開発したソフトウェア（ランサムウェア）は、使用料を支払う悪意ある人物に、標的のデータを暗号化して身代金を要求する、または、要求が満たされない場合はインターネットへの漏洩（英語版）という恫喝をする、この2つの攻撃方法を実行可能にしている^[1]。

Lockbit

設立	2019
種類	サイバー犯罪

様々な政府機関の共同声明によると、LockBitのランサムウェアは2022年に世界で最も蔓延した^[2]。2023年初頭には、世界中のランサムウェアインシデントの44%に達すると推定された^[3]。

アメリカでは、2020年1月から2023年5月までに、LockBitが約1,700件のランサムウェア攻撃に使われ、9,100万米ドルの身代金がハッカーに支払われた^[4]。

政府機関は同グループがどのような国家に属するかを正式に認めなかった^[5]。LockBitというソフトウェアは、2020年1月にロシア語圏のサイバー犯罪フォーラムに出現した^[4]。金銭目的としている^[3]。

2024年2月に法執行機関は使用されたLockBitのダークウェブサイトを差し押さえた^[6][7]。しかし、その後LockBitのランサムウェアによるさらなる攻撃が報告され、同グループは再燃を企んでいるという^[8][9]。

解説

このソフトウェアは、2024年の削除時に開発中のLockBit-NG-Devに.NETが使用されるまでCおよびC++で書かれていたが^[8]、他のマルウェアと同様、購入したアクセス、パッチ未適用の脆弱性、内部者アクセス、ゼロデイ攻撃を利用してコンピュータシステムの初期アクセス権を取得する。次に、LockBitは感染したシステムを制御、コンピュータネットワーク情報の収集、そして窃取したデータを暗号化する。標的にデータを復号して再利用出来るようにするため支払いを促し、さもなければデータを公開すると脅して、加害者にそのコピーを削除するよう要求する^[10]。（身代金が支払われればデータは公開されないはずだが、法執行機関がLockBitを削除した際、データが削除されていなかったことが判明した^[11]）

LockBitは、侵入者へのデータ転送を自動化するマルウェアの「StealBit」の作成と使用で注目された。このツールは、高速で効率的な暗号化機能を備えたLockBit 2.0のリリースで導入された。LockBit は、攻撃範囲を拡大するために、Linuxホスト、特にVMware ESXiサーバを標的にしたLinux-ESXI Locker ver.1.0もリリースした^[1]。

LockBitは仲間を募集し、他の犯罪グループとの提携を構築している。ネットワークアクセスブローカーを雇って、Mazeなどの組織と協力し、標的の企業から 内部脅威（英語版）を募集する。才能のあるハッカーを誘引させるため、地下の技術ライティングコンテストを後援している^[1]。

LockBitは世界中の多様な業界を標的としてきたが、医療、そして教育分野が最大の損害を被った。トレンドマイクロは、攻撃された面ではアメリカ、インド、ブラジルが主要ターゲット国としている^[1]。

LockBitは効率的で適応性を持つ。マルウェアの速度と能力を強調して被害者を引き付ける。彼らは潜在的標的を標的にする際はデータプライバシー法などの外部要因を考慮に入れる。LockBitの成功は、ランサムウェアの環境で革新と競争に寄与するアフィリエイトプログラムにも大きく依存する^[1]。

LockBitは「オランダにあり、完全に非政治的であるし、金にしか興味がない」とダークウェブで記した^[12]。

技術と戦術

LockBitオペレーターは、脆弱なリモートデスクトップ・プロトコル（RDP）サーバやアフィリエイトから購入した侵害された資格情報を悪用することで、初期アクセス権を頻繁に取得する。初期アクセスベクトルには、悪意のある添付ファイルやリンクを含むフィッシングメール、脆弱性があるRDP、VPNパスワードの総当たり攻撃であったり、FortinetのVPNのCVE-2018-13379などの脆弱性の悪用などがある^[1]。

一度インストールされると、LockBitランサムウェアは、大抵はcommand line interface、スケジュールされたタスク、またはPowerShell EmpireなどのPowerShellスクリプトでMicrosoft Windowsで実行される。LockBitは、Mimikatz（英語版）、GMER、Process Hacker、レジストリ編集などのツールで、資格情報を収集し、セキュリティ製品を無効にして防御機能を回避する。ネットワーク接続を列挙して、Advanced Port Scannerなどのスキャナツールでドメインコントローラなどの絶対値を特定する^[1]。

ラテラルムーブメント（英語版）、LockBitは、以前に収集された資格情報を悪用して、ネットワーク内のSMBファイル共有接続を介して拡散する。その他ラテラルムーブメントの技術には、侵害されたグループポリシーオブジェクトを介して自身を配布したり、PsExecやMetasploit#Cobalt Strikeなどのツールを使用したりする^[1]。

LockBitのランサムウェアペイロードは、ブロック暗号であるAESとRSA暗号を使用してファイルとネットワーク共有を暗号化する。より高速な処理され各ファイルの最初の数キロバイトのみを暗号化、拡張子「.lockbit」を追加する。その後、デスクトップの壁紙を身代金要求メモに置換する。また、接続されたプリンターでメモを印刷することも出来る。システムの中断を逆転させ、ファイルアクセスを復元するために身代金の支払いを強要することが目的である^[1]。

経緯

LockBitマルウェアはアクセス出来なくなったため、以前は暗号化されたファイルに追加されたファイル拡張子に因み、「abcd」と呼ばれていた^[13]。

LockBitは2019年9月に初めて確認された^[14]。

LockBit 2.0

LockBit 2.0が2021年に出現し^[14]、同じ年にアクセンチュアへの攻撃で注目を集め、おそらく内部者がグループのネットワークへ侵入を助けている。LockBitはこの攻撃で盗まれたデータの一部を公開した^[15][1]。

2022年1月にエレクトロニクス会社タレス・グループはLockbit 2.0の犠牲の一社となった^[16]。

2022年7月、フランス郵政公社の経営管理サービスが攻撃された^[17]。

2022年9月にグループは28の組織に対するサイバー攻撃を明かし、そのうち12件はフランスの組織が巻き込まれた^[18]。その中でコルベイユ＝エソンヌ病院は1000万ドルの身代金要求で標的にされた^[19]。

2022年10月、LockBitグループはイギリスの自動車小売業者のグループである、ペンドラゴン公開有限責任会社への攻撃の声明を出し、ファイルを復号化し、漏洩しないために6000万ドルの身代金を要求。同社は要求を拒否したと発表した^[20]。

2022年10月31日、LockBitハッカーグループはタレスグループを2度目の攻撃したと主張し、身代金を要求こそ無かったが、データの公開はすると言及した。ハッカーグループは、「機密保持規則を大幅に無視している」グループであるタレスに苦情を申し立てるために、盗難の影響を受けたタレスの顧客に支援を提供した^[21]。2022年11月10日、LockBit 3.0グループは、イタリアとマレーシアのタレス契約に関する盗まれた情報を含む9.5GBのアーカイブをダークネットに公開した^[22][23]。

2022年11月にはフランスの油圧機器を扱うOEHCのデータの暗号化というサイバー攻撃の犠牲となった。身代金要求が行われたが、OEHCは応答しなかった^[24]。

2022年12月、LockBitハッカーグループは、カリフォルニア州財務局への攻撃を明らかにした。知事室は、その規模を特定せずに、攻撃の犠牲者であることを認めた。Lockbitは、合計サイズ75.3  GBの246,000のファイルを盗んだと主張している^[25]。

2022年12月、ハッカーグループはリスボン港（英語版）を攻撃したと主張。身代金は150万米ドルを要求し、2023年1月18日までに支払われる予定である^[26]。

同グループは2022年12月18日にトロントの小児病院を攻撃したが、失策に気付き攻撃を停止、謝罪し、暗号化されたファイルを回復するための無料の解決策を提供した^[27]。

LockBit 3.0

2022年6月下旬、グループは2ヶ月間のベータテストの後、ランサムウェアの最新の亜種である「LockBit 3.0」を立ち上げた。特にこのグループは、ランサムウェア操作の分野で初めて脆弱性報奨金制度を利用した。グループはセキュリティ研究者を招き入れ、セキュリティを向上させるためにソフトウェアのテストをし、研究者に1,000米ドルから100万米ドルの大幅な金銭的報酬を渡している^[1]。

2022年8月にドイツの機器メーカーコンチネンタルはLockBitランサムウェア攻撃を受けた。2022年11月には身代金要求に反応せず、ハッカーグループは盗まれたデータの一部を公開し、5000万ユーロですべてへのアクセスを提供した。盗まれたデータの中には、グループの従業員の私生活や、ドイツの自動車メーカーとの交流データも含まれた。危険はデータの盗難だけでなく産業スパイへの道を開くことであった。実際、フォルクスワーゲンとの交流の中には、自動運転からエンターテインメントまで、フォルクスワーゲンがコンチネンタルに投資を望んでいたITの側面があった^[28]。

2022年11月、アメリカ合衆国司法省は、LockBitランサムウェア攻撃に関連し、ロシアとカナダの二重国籍であるMikhail Vasilievの逮捕を発表した。告発によると、Vasilievは2022年11月時点で世界中で1,000件以上の攻撃で使用されていたランサムウェアの変種であるLockBitに関与した他の人と共謀したとされている。報道ではLockBitの運営者は少なくとも1億ドルの身代金を要求し、そのうち数千万ドルが被害者から支払われていた。逮捕は司法省によるLockBitランサムウェアグループに対する2年半の調査の後であった^[29]。

2023年1月、グループはフランスの化粧品会社ニュクス（フランス語版）を攻撃したと主張^[30]、加えて、フランスの私立診療所グループであるELSANについても言及した。同社の本社から821GBのデータを盗んだ^[31]。同月、ロイヤルメールの国際輸出サービスはLockBitのランサムウェア攻撃によって停止を強要された^[32][33]。

2023年2月、このグループはカナダの書店チェーン、インディゴ（英語版）への攻撃を明らかにした^[34]。

2023年3月、LockBit 3.0はフランスの水資源を専門とする地域開発企業BRLグループ（フランス語版）を攻撃したと主張した^[35]。

2023年5月16日、ハッカーグループは中国のチャイナデイリーの香港支店を攻撃したとする認識を主張した。ハッカーグループが中国企業を攻撃したのはこれが初めてであった。LockBitはロシアの実体は標的にせず、ロシアの同盟国を攻撃することを避けていた^[36]。

2023年5月、旅行代理店Voyageurs du Mondeヴォワヤジュール・ドュ・モンド（フランス語版）への攻撃を表明した。ハッカーグループは同社の顧客ファイルから約10,000件の身分証明書を盗み取った^[37]。

2023年6月にはアメリカ合衆国司法省は関連会社としてLockBitランサムウェア攻撃に参加したとして、ロシア国籍のRuslan Magomedovich Astamirovに対する刑事告発を発表した。告発ではAstamirovが少なくとも5つのランサムウェア攻撃を被害者に対して直接実行し、身代金の支払いの一部をビットコインで受け取ったとしている^[38]。

2023年6月末にTSMCグループは、サプライヤーの1つを介したランサムウェア攻撃の犠牲になった。LockBitは身代金7000万ドルを要求した^[39]。

2023年7月、LockBitは日本の貿易の10%を担う名古屋港を攻撃。この攻撃によりコンテナ操業の停止を余儀なくされた^[40]。

グループは2023年10月にボーイングから機密データを盗んだと明らかにした^[41]。ボーイングは、数日後に一部の部品と流通事業に影響を与えるサイバーインシデントを認識していたことを認めたが、飛行の安全性には影響しなかった。会社は容疑者の名前を挙げなかった^[42]。

2023年11月、LockBitは中国工商銀行のアメリカの子会社を攻撃した^[43]。ブルームバーグは当時の工商銀行のアメリカ支社は、資産で世界最大の貸し手であるとされていたと報道した^[44]。

2023年11月、LockBitはグループが1ヶ月前にボーイングからインターネットに盗んだ内部データを公開した^[45]。

2023年11月、LockBitギャングはen:Chicago Trading Companyとen:Alphadyne Asset Managementを攻撃した。ブルームバーグは、CTCが10月にハッキングされ、前年にLockBitが「世界で最も多作なランサムウェアグループになった」と報じた。アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁から、2020年以来、1,700件の攻撃を実行し、9100万ドルを強要したと発表された^[46]。レジスター（英語版）は2023年11月下旬において、LockBitが不満による内部圧力下にあり、そのリーダーが達成された低賃金率に対応して被害者との交渉方法のいくつかを見直しているとした^[47]。

2024年1月、LockBitギャングはジョージア州フルトン郡のコンピュータを攻撃した^[48][49]。郡は翌月、身代金を支払いには応じず、選挙プロセスにも関連しておらず、市民や従業員に関する機密情報の流出を認識していないとする声明を発表した^[48][49]。

2024年6月、LockBitギャングはクロアチア国内最大の医療施設、ザグレブの大学病院センターを攻撃した。この攻撃で多大な混乱が生じ、病院のネットワークシステムを紙と鉛筆に引き戻させた。LockBitは医療記録や従業員情報を含む多数のファイルを流出させたとし、データを公開しないことと引き換えに非公開の金額を要求した。クロアチア政府はその要求を拒否した^[50][51]。

LockBit-NG-Dev (LockBit 4?)

2024年2月にLockBitサーバが法執行機関によって閉鎖されたとき、LockBit 4.0として公開されるであろう新しいバージョンのLockBit-NG-Devが開発中であることが判明した^[52]。トレンドマイクロはそれに関する詳細な報告書を発表した^[53]。

2024年の法執行機関の押収

2024年2月19日、国家犯罪対策庁は欧州刑事警察機構や他の国際法執行機関と協力して、クロノス作戦の一環として、LockBitランサムウェアギャングに属するダークネットウェブサイトの統制権を押収した^{[54][55][56][6][7]}。未確認のレポートではあるが、LockbitはPHPで実行されているサーバが差し押さえられたが、PHPではない、まだ触れられてはいないバックアップサーバがあるという^[12]。ウクライナで1人、ポーランドでは1人、アメリカで2人が逮捕された。2人のロシア人も指名手配されたが逮捕には至っていない。国家犯罪対策庁のGraeme Biggar長官によると、法執行機関は「インフラストラクチャを管理し、ソースコードを押収し、被害者がシステムを解読するのに役立つキーを入手した」としている^[11]。LockBit 3.0の復号ツールは、押収されたキーを使用して作られ、No More Ransomで無料で使用するためにリリースされた^[57]。

差し押さえの後、法執行機関は、少なくとも188の関連会社があるなど、ダークウェブにグループに関する情報を掲載した^[8]。法執行機関はまた、2,200BTC（1億1200万ドル相当）を含む身代金支払いによるグループの利益を管理するために使用される30,000のビットコインアドレスを押収した^[58]。

2024年2月22日現在では、LockBitランサムウェアは未だ広がりを見せていた^[59][8]。

2024年2月24日にはLockBitによって運営されているという新しいウェブサイトが出現した^[60]。その新しいサイトには、FBI、病院、ジョージア州フルトン郡を含む12人以上の標的が列記させられ^[60]、2024年3月2日までに身代金が支払われない限り、フルトン郡に関する情報を公開すると脅した^[60]。新しいサイトは、殺人裁判で陪審員の身元を持っているとも主張した^[60]。身代金が支払われなかった場合はドナルド・トランプに関する裁判のフルトン郡の文書を公開するという脅迫もあった^[60]。

2024年5月7日、LockBitの管理者および開発者とされるDmitry Khoroshevに対する告発と制裁が発表された^[61][62]。

LockBitは2024年5月21日、カナダの小売チェーンロンドンドラッグの本社への攻撃を表明し、2,500万ドルの身代金を要求した^[63][64] その影響により、ロンドンドラッグは全店舗を2024年4月28日から5月7日まで閉店とした^[65][66]。ロンドンドラッグは身代金の支払いを拒否しており、顧客と主な従業員の情報は侵害されていないと発表した^[63][64]。

2024年6月、LockBitはストライプ、Mercury、アファーム・ホールディングス（英語版）、Airwallexといったフィンテック企業の提携銀行^[67]であるエボルブ銀行（英語版）の侵害を主張した^[68]。このグループは連邦準備制度からデータを漏洩すると脅迫していたが、漏洩したデータは連邦準備制度ではなくEvolveからのデータだったとされている^[69]。