【専門家が解説】Operation Cronosとは？

2024/02/20にLockBitランサムウェアグループの摘発と逮捕の話題がネット上に流れてきています。また、復号化ツールも警視庁からの案内の通り「No More Ransom」というサービスで提供される様になっています。

この記事では、「Operation Cronos」と呼ばれるこの一連のLockBitランサムウェアグループ摘発の動きについて簡単にまとめていきます。

LockBitランサムウェアグループとは

ランサムウェアによるサイバー攻撃をサービスとして提供するRaaSを採用する、全世界的に重大な脅威をもたらすランサムウェアグループのこと。

「マルウェア感染による暗号化解除と引き換えに身代金を要求し、従わない場合は情報を流出する」という二重脅迫を専門にしています。

2024/05/08更新: 米国司法省がLockBitSuppとしてロシアVoronezh在住のDimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев)氏を起訴しましたので、下記の記事にまとめました。

2024/05/06更新：LockBitランサムウェアグループのサイトが警察の手により復活し再戦がスタートした件について、下記の記事にまとめました。

・2024/05/01更新：活動再開後の4月にワシントンDC保険証券銀行局（DISB）への攻撃と脅迫がありましたので追記しました。）
・2024/02/26更新：LockBitランサムウェアグループですが、早速活動を再開したとのことと、PHPサーバの脆弱性（CVE-2023-3824）を突かれたという話が出ているので更新しています。）

Operation Cronosとは
今回のLockBitランサムウェアグループサーバのハッキングと脆弱性(CVE-2023-3824)
LockBitランサムウェアグループのアフィリエイトを制裁
被害者に対する支援
米国国務省がLockBitグループ及びリーダーに関する情報に総額 1,500万ドルの懸賞金をかける
LockBit-NG-Dev
LockBitランサムウェアグループの復活
復活したLockBitランサムウェアグループの活動
参考文献
- 関連記事:

Operation Cronosとは

　Europolの発表によると、「Operation Cronos」は、U.K.のNational Crime Agency（NCA：英国国家犯罪庁）をトップにヨーロッパのEuropol(欧州刑事警察機構)とEurojust(欧州司法機構)との調整の元で行われました。 NCAはFBIと連携し、他の9カ国の支援を受けてこのLockBitグループの捜査を進めています。

NCAの発表によると以下のような事が行われました。

LockBitが攻撃のために使用している主要な環境と、ダークウェブ上の身代金要求のサイトを掌握しました。
このサイトには代わりに、NCAによりLockBit の機能と運用を公開する一連の情報を1週間、毎日投稿する予定です。
ポーランドとウクライナでLockBitランサムウェアグループの２名を逮捕しました。
暗号化されたファイルを復号化するツールを作成して「No More Ransom」というWebサービスとして無償で提供しました。
国際的な取締りとして、サイバー犯罪組織のサーバーをハッキングした後、200以上の仮想通貨ウォレットを押収しました。
フランスと米国の司法当局も、他の LockBit 脅威アクターを対象とした 3 件の国際逮捕状と 5 件の起訴状を発行しましました。
米国司法省は、LockBit を使用してランサムウェア攻撃を実行した被告2名を刑事告発したと発表しました。

大規模な共同捜査「Operation Cronos」が、LockBitランサムウェアグループに対してあげた成果はいかがですか？

今回のLockBitランサムウェアグループサーバのハッキングと脆弱性(CVE-2023-3824)

　Bleepingcomputerによると、LockBitランサムウェアグループですが早速復活していて「個人的な過失と無責任のせいで、気を緩めてしまい、PHP の更新が間に合わなくなっていました」と述べているそうで、どうやらPHPの脆弱性(CVE-2023-3824)を利用して司法当局から攻撃された模様です。

　LockBitランサムウェアグループですが後述しますが活動を再開していて、PHPを最新バージョンに上げたことと、脆弱性を発見した場合には報奨金を支払うとのことです。

CVE-2023-3824

CVSS
- Base Score: 9.8 Critical
- Vector(NVD): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
対象バージョン
- PHP 8.0 – 8.0.29, 8.1 – 8.1.21, 8.2 – 8.2.7
詳細
- PHARディレクトリエントリの読み取りの際にpharファイルをロードする時、長さのチェックが不十分なためスタックバッファオーバーフローが発生する可能性があります。これによりメモリ破損またはRCE（リモートコード実行：Remote Code Execution）につながる可能性があります。

よくよく考えれば当然ですが、ランサムウェアグループ側も脆弱性を突かれるなんてことが起きるんですね！

LockBitランサムウェアグループのアフィリエイトを制裁

米国財務省によると、以下の2つのLockBitランサムウェアのアフィリエイトを制裁対象としています。

LockBitアフィリエイトサブグループ「National Hazard Society」のリーダーであるIvan Gennadievich Kondratiev氏。「Basterlord」や「Fisheye」として知られており、REvil・RansomEXX・Avaddon等、他のランサムウェアグループとも関係があるとの事。
LockBitのアフィリエイトグループでランサムウェア攻撃に積極的に関与したArtur Sungatov氏

米国司法省はプレスリリースの中で、上記二名の発した起訴状を公開したと述べています。

また、米国司法省のプレスリリースによると、現時点で起訴されているLockBitメンバーは下記の三名を加えて合計5名となります。

Matveev(2023年5月、ワシントンD.C.とニュージャージー州地区で2件の起訴状が公開され、LockBitを含むさまざまなランサムウェアの亜種を使用してワシントンD.C.を含む全米の多数の被害者を攻撃したとして告発)
Vasiliev(2022年11月、世界的なランサムウェアキャンペーンへの参加に関連して、ニュージャージー州での刑事告訴が提起)
Ruslan Magomedovich Astamirov(2023年6月、フロリダ・日本・フランス・ケニアの被害者に対するLockBitキャンペーンの参加で、ニュージャージー州地区で刑事告訴された。現在米国で裁判を待って保留中)

被害者に対する支援

　NCAの発表によると、NCAは1,000以上の復号キーを入手しており、今後数日から数週間以内に英国を拠点とする被害者に連絡してサポートを提供し、暗号化されたデータの回復を支援する予定との事です。

　またEuropolの発表によると、NCA・FBI・日本の警察庁がEuropolの支援を受けて協力し、LockBit ランサムウェアによって暗号化されたファイルを回復するための復号ツールを開発し「No More Ransom」ポータルとして利用できるようになりました。37カ国語が対応しているとのことです。警察庁も「ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発について」としてプレスリリースを出しており、今後の対応として「日本国内の被害企業等に対して、最寄りの警察署への相談を促すと共に、相談があった場合には、その求めに応じ、復号ツールを活用して被害回復作業を実施することとしている。（原文ママ）」と述べています。

日本企業にも被害を受けた企業はあります…。

対岸の火事とはいきませんね！

米国国務省がLockBitグループ及びリーダーに関する情報に総額 1,500万ドルの懸賞金をかける

米国国務省は「 Reward Offers for Information on LockBit Leaders and Designating Affiliates」に出したとおり、LockBitランサムウェアグループ（亜種を含む）の攻撃に参加した個人の逮捕および/または有罪判決につながる情報、およびランサムウェアの主要リーダーの特定や居場所につながる情報に対して、総額で最大1,500万ドルの懸賞金を提供すると発表しています。