【専門家が解説】Operation Cronosとは?

2024.02.23

2024/02/20にLockBitランサムウェアグループの摘発と逮捕の話題がネット上に流れてきています。また、復号化ツールも警視庁からの案内の通り「No More Ransom」というサービスで提供される様になっています。

この記事では、「Operation Cronos」と呼ばれるこの一連のLockBitランサムウェアグループ摘発の動きについて簡単にまとめていきます。

LockBitランサムウェアグループとは

ランサムウェアによるサイバー攻撃をサービスとして提供するRaaSを採用する、全世界的に重大な脅威をもたらすランサムウェアグループのこと。

「マルウェア感染による暗号化解除と引き換えに身代金を要求し、従わない場合は情報を流出する」という二重脅迫を専門にしています。

ランサムウェア犯罪集団「LockBit(ロックビット)」とは?
ランサムウェアグループ「LockBit」について、2024年5月段階で判明している事を脅威インテリジェンスの専門家がまとめていきます。LockBitがどういった組織か、攻撃による被害事例、LockBit2.0、LockBit3.0の情報が丸わかりです。
hwdream.com
2024.01.09

2024/05/08更新: 米国司法省がLockBitSuppとしてロシアVoronezh在住のDimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев)氏を起訴しましたので、下記の記事にまとめました。

米国司法省がLockbitSuppとしてDimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев)氏を起訴(追記:LockbitSuppはインタビューで否定)
2024/05/05にLockBitの恐喝サイトが警察の手によって復活し、LockbitSuppの正体を明かすと予告されていたことは既に別の記事で触れています。米国司法省がLockBitSuppとしてロシアVoronezh在住のDimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев)氏を起訴しましたので簡単に纏めています。LockbitSuppがインタビューに答え、「自分はDimitryではない」と否定しましたので追記しました
hwdream.com
2024.05.08
2024/05/08更新

2024/05/06更新:LockBitランサムウェアグループのサイトが警察の手により復活し再戦がスタートした件について、下記の記事にまとめました。

LockBitのサイトが警察の手により復活(2024/05/05)
(更新:米国司法省がLockBitSuppとしてロシアVoronezh在住のDimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев)氏を起訴しました。)「Operation Cronos」で10カ国の協力によりサイトを押収されたLockBitですが、その後復活をしていたことはリンク先の記事でも紹介しています。これを受けて、再び2024/05/05に押収されたLockBitのサイトが警察の手により復活し、LockBitとの再戦が始まった模様です。こちら、現在わかっている情報からまとめています。
hwdream.com
2024.05.06

・2024/05/01更新:活動再開後の4月にワシントンDC保険証券銀行局(DISB)への攻撃と脅迫がありましたので追記しました。)
・2024/02/26更新:LockBitランサムウェアグループですが、早速活動を再開したとのことと、PHPサーバの脆弱性(CVE-2023-3824)を突かれたという話が出ているので更新しています。)

Operation Cronosとは

「Operation Cronosとは」イメージ画像

 Europolの発表によると、「Operation Cronos」は、U.K.のNational Crime Agency(NCA:英国国家犯罪庁)をトップにヨーロッパのEuropol(欧州刑事警察機構)とEurojust(欧州司法機構)との調整の元で行われました。 NCAはFBIと連携し、他の9カ国の支援を受けてこのLockBitグループの捜査を進めています。

NCAの発表によると以下のような事が行われました。

  • LockBitが攻撃のために使用している主要な環境とダークウェブ上の身代金要求のサイトを掌握しました。
  • このサイトには代わりに、NCAによりLockBit の機能と運用を公開する一連の情報を1週間、毎日投稿する予定です。
  • ポーランドとウクライナでLockBitランサムウェアグループの2名を逮捕しました。
  • 暗号化されたファイルを復号化するツールを作成して「No More Ransom」というWebサービスとして無償で提供しました。
  • 国際的な取締りとして、サイバー犯罪組織のサーバーをハッキングした後、200以上の仮想通貨ウォレットを押収しました。
  • フランスと米国の司法当局も、他の LockBit 脅威アクターを対象とした 3 件の国際逮捕状と 5 件の起訴状を発行しましました。
  • 米国司法省は、LockBit を使用してランサムウェア攻撃を実行した被告2名を刑事告発したと発表しました。

大規模な共同捜査「Operation Cronos」が、LockBitランサムウェアグループに対してあげた成果はいかがですか?

今回のLockBitランサムウェアグループサーバのハッキングと脆弱性(CVE-2023-3824)

「LockBitランサムウェアグループサーバのハッキングと脆弱性」イメージ画像

 Bleepingcomputerによると、LockBitランサムウェアグループですが早速復活していて「個人的な過失と無責任のせいで、気を緩めてしまい、PHP の更新が間に合わなくなっていました」と述べているそうで、どうやらPHPの脆弱性(CVE-2023-3824)を利用して司法当局から攻撃された模様です。

 LockBitランサムウェアグループですが後述しますが活動を再開していて、PHPを最新バージョンに上げたことと、脆弱性を発見した場合には報奨金を支払うとのことです。

CVE-2023-3824

  • CVSS
    • Base Score: 9.8 Critical
    • Vector(NVD): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • 対象バージョン
    • PHP 8.0 – 8.0.29, 8.1 – 8.1.21, 8.2 – 8.2.7
  • 詳細
    • PHARディレクトリエントリの読み取りの際にpharファイルをロードする時、長さのチェックが不十分なためスタックバッファオーバーフローが発生する可能性があります。これによりメモリ破損またはRCE(リモートコード実行:Remote Code Execution)につながる可能性があります。

よくよく考えれば当然ですが、ランサムウェアグループ側も脆弱性を突かれるなんてことが起きるんですね!

LockBitランサムウェアグループのアフィリエイトを制裁

「LockBitランサムウェアグループのアフィリエイトを制裁」イメージ画像

米国財務省によると、以下の2つのLockBitランサムウェアのアフィリエイト制裁対象としています。

  1. LockBitアフィリエイトサブグループ「National Hazard Society」のリーダーであるIvan Gennadievich Kondratiev氏。「Basterlord」や「Fisheye」として知られており、REvil・RansomEXX・Avaddon等、他のランサムウェアグループとも関係があるとの事。
  2. LockBitのアフィリエイトグループでランサムウェア攻撃に積極的に関与したArtur Sungatov

米国司法省はプレスリリースの中で、上記二名の発した起訴状を公開したと述べています。

また、米国司法省のプレスリリースによると、現時点で起訴されているLockBitメンバーは下記の三名を加えて合計5名となります。

  1. Matveev(2023年5月、ワシントンD.C.とニュージャージー州地区で2件の起訴状が公開され、LockBitを含むさまざまなランサムウェアの亜種を使用してワシントンD.C.を含む全米の多数の被害者を攻撃したとして告発)
  2. Vasiliev(2022年11月、世界的なランサムウェアキャンペーンへの参加に関連して、ニュージャージー州での刑事告訴が提起)
  3. Ruslan Magomedovich Astamirov(2023年6月、フロリダ・日本・フランス・ケニアの被害者に対するLockBitキャンペーンの参加で、ニュージャージー州地区で刑事告訴された。現在米国で裁判を待って保留中)

被害者に対する支援

「被害者に対する支援」イメージ画像

 NCAの発表によると、NCAは1,000以上の復号キーを入手しており、今後数日から数週間以内に英国を拠点とする被害者に連絡してサポートを提供し、暗号化されたデータの回復を支援する予定との事です。

 またEuropolの発表によると、NCA・FBI・日本の警察庁がEuropolの支援を受けて協力し、LockBit ランサムウェアによって暗号化されたファイルを回復するための復号ツールを開発し「No More Ransom」ポータルとして利用できるようになりました。37カ国語が対応しているとのことです。警察庁も「ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発について」としてプレスリリースを出しており、今後の対応として「日本国内の被害企業等に対して、最寄りの警察署への相談を促すと共に、 相談があった場合には、その求めに応じ、復号ツールを活用して被害回復作業を実施することとしている。(原文ママ)」と述べています。

No More Ransomポータル

日本企業にも被害を受けた企業はあります…。

対岸の火事とはいきませんね!

米国国務省がLockBitグループ及びリーダーに関する情報に総額 1,500万ドルの懸賞金をかける

懸賞金をかけるイメージ画像

米国国務省は「 Reward Offers for Information on LockBit Leaders and Designating Affiliates」に出したとおり、LockBitランサムウェアグループ(亜種を含む)の攻撃に参加した個人の逮捕および/または有罪判決につながる情報、およびランサムウェアの主要リーダーの特定や居場所につながる情報に対して、総額で最大1,500万ドルの懸賞金を提供すると発表しています。

最大1,500万ドルの懸賞金…それだけ被害が大きいんですね!

LockBit-NG-Dev

 今回の捜査が始まる前に、TrendMicroで「LockBit-NG-Dev」という新しいLockBitのバージョンサンプルを解析していた様です。LockBit-NG-Devに関してはまた別の記事で取り上げたいと思います。

LockBitランサムウェアグループの復活

LockBitランサムウェアグループの復活イメージ画像

 BleepingComputerの記事によると、早速LockBitランサムウェアグループですが復活した模様です。

新しいインフラを構築して早速ランサムウェアによる脅迫を再開している模様で、新しい.onionアドレスにはもう被害者が5組織アップされているとのことです。

 先にも述べましたが、今回のインフラ破壊はPHPの脆弱性によるものだとしてPHPの入っているサーバーをアップデートし、最新バージョンで脆弱性を発見した人には報奨金を与えると発表したそうです。

こんなにあっさりと復活してしまうものなんですね!

復活したLockBitランサムウェアグループの活動

復活したLockBitランサムウェアグループの活動イメージ画像

  上記でも触れましたが、LockBitランサムウェアグループは活動を再開しています。

 2024年4月には、ワシントンDC保険証券銀行局(DISB)を攻撃し、800GBのデータを盗んだとして脅迫を行なっています

LockBitは2024/04/19に、交渉が決裂したとして1GBの情報をリークすると警告しています

(画像はX(旧Twitter): https://twitter.com/BrettCallow/status/1781025700398735472/photo/1より引用)

参考文献

脅威インテリジェンスセミナーの詳細情報はこちら!
セキュ塾の無料カウンセリングはこちら♪

この記事があなたのお役に立てればうれしく思います。

最後までお読みいただき、ありがとうございます。

関連記事:

米国司法省がALPHV/BlackCat Ransomwareグループ撲滅キャンペーンAPT29 (BlueBravo, Cozer, Cozy Bear, Cozy Duke, CozyCar, EuroAPT, Midnight Blizzard, NOBELIUM, Office Monkeys, RUS2, The Dukes, UNC2452)についてVolt Typhoonについて【世界中に被害を与えたランサムウェア】WannaCryとは?