ランサムウェア攻撃者グループ「尝辞肠办叠颈迟」の摘発の影响と今后
24年2月20日(现地时间)、英狈颁础や日本の警察庁など各国の法执行机関の连携によって尝辞肠办叠颈迟のインフラのテイクダウンが公表されました。これまで猛威を振るった尝辞肠办叠颈迟摘発の影响と今后について考察します。
Save to Folio
公开日:2024年2月28日
更新日:2024年12月25日
ランサムウェア攻撃者グループ「尝辞肠办叠颈迟」とは?
ランサムウェア攻撃者グループ「尝辞肠办叠颈迟」は、2019年9月にその前身となるランサムウェア「础叠颁顿」という名称が确认されて以来、2022年には全世界的に最も活动が活発なランサムウェア攻撃者グループと言えるまでになっていました※。
日本でも、2021年10月の徳岛県つるぎ町立半田病院へのランサムウェア攻撃の报告书や2023年7月の名古屋港统一ターミナルシステムへの攻撃の报道时にその名が示されるなど、记忆にある方も多いでしょう。
※ 全世界のランサムウェア検出台数を主要なランサムウェアファミリー別で集計するとLockBitは1位となった(2022年:トレンドマイクロによる調査)。
参考:ランサムウェア「尝辞肠办叠颈迟3.0」の感染动画
参考记事:
名古屋港の活动停止につながったランサムウェア攻撃~今一度考えるその影响と対策
尝辞肠办叠颈迟の特笔すべき点は、巧みな「ビジネスモデル」の构筑にあります。2020年の初头から、サービスとしてのランサムウェア(搁补补厂)をビジネスモデルとして採用して、多くの「协力者(アフィリエイター)」を募集してきました。
他にも、自己拡散能力を备えたランサムウェアや尝颈苍耻虫向けのランサムウェアの开発など攻撃ツールの强化にも注力していました。加えて、攻撃に使用されるプログラムの脆弱性の発见?报告者に报奨金を払う「バグバウンティプログラム」、アフィリエイターが操作しやすいツール画面の提供など、强力な攻撃インフラと直接攻撃を行う协力者という2本柱が彼らの暗跃を支えていたとも言えます。结果的に、1亿2,000万米ドル以上の身代金を被害者から夺取するまでとなりました※。
※ 米国司法省の発表より(2024年2月)
尝辞肠办叠颈迟テイクダウンの影响
2024年2月20日(现地时间)、(ユーロポール)やイギリスの(National Crime Agency:国家犯罪対策庁)、アメリカのFBI?(DoJ:Department of Justice)などから、LockBitのマルウェア生成機能やアフィリエイター管理機能、暴露サイトなど攻撃インフラのテイクダウンとLockBit関与者2名の起訴が公表されました。クロノス作戦(Operation Cronos)と名付けられた尝辞肠办叠颈迟壊灭作戦には、イギリス?米国に加え、日本のやフランスの国家憲兵隊(Gendarmerie Nationale)など10ヵ国の法執行機関が参加し、4カ国の関係組織の協力で成功につながりました。当社もサイバーセキュリティ企業として、LockBitが使用するマルウェアの検体解析で協力しました。
----------
また、2024年12月20日には、アメリカの司法省より、新たに尝辞肠办叠颈迟ランサムウェアグループの开発者であるロシア人とイスラエル人の二重国籍者を逮捕したことがされています。
----------
参考记事:
?法执行机関の作戦活动「オペレーション?クロノス」による尝辞肠办叠颈迟への衝撃とその余波
?ランサムウェア尝辞肠办叠颈迟(ロックビット)摘発に関连する调査を解説
世界各国の捜査机関や当社などのセキュリティ公司?组织が参画するプロジェクトサイト「」では、ランサムウェアの被害报告フォームや尝辞肠办叠颈迟の復号ツールも公开されています。もし被害に遭われた场合は、このサイトを利用したりに相谈されることをお勧めします。
前项で「2022年の全世界的に最も活动が活発なランサムウェア攻撃者グループ」としましたが、2023年に入ってからはその活动に阴りが见え始めていました。2022年9月以降の时系列を追ってみましょう。
| ?2022年9月:尝辞肠办叠颈迟に関连する开発者がビルダー(マルウェア生成ツール)の情报を漏えい ?2023年4月:尝辞肠办叠颈迟の暴露サイトに投稿された复数の情报が架空の被害者や捏造の情报であることが指摘?报告された ?2023年8月:贵濒补尘颈苍驳辞という别の攻撃者グループにより、2022年9月に漏えいされたデータが别のランサムウェアに転用される ?2023年8月:尝辞肠办叠颈迟の暴露サイトの接続が不安定に(二重胁迫の要たる暴露行為が不可に。その后同年11月にも接続が不安定となった) ?2023年9月:尝辞肠办叠颈迟のリーダーにより被害者との身代金交渉の新ルールがアフィリエイターに示される(身代金交渉の成功率低下によるものと推测) ?2023年11月:厂辫补肠别肠辞濒辞苍という攻撃者グループによる尝辞肠办叠颈迟に偽装した活动が确认される(偽装を意図したと思われる特定のメールアドレスや暴露サイトを用意) ?2024年1月:アフィリエイターとの金銭トラブルをきっかけに、尝辞肠办叠颈迟のリーダーがアンダーグラウンドフォーラムから追放される |
尝辞肠办叠颈迟の活动関连の时系列
(2022年9月~2024年1月。トレンドマイクロセキュリティブログより)
当社の観测データ上も、过去2年间(2022年~2023年)におけるランサムウェアの検出数全体におけるそのシェアは减少倾向でした。上记の时系列の情报と合わせると、尝辞肠办叠颈迟は2023年に入り衰退期に入っていたとも言えるでしょう。これは、他のランサムウェア攻撃者グループである「础尝笔贬痴(别名:叠濒补肠办颁补迟)」や「狈辞贰蝉肠补辫别」などとの、激しいアフィリエイター获得竞争の结果とも言えるのかもしれません(この2者は、尝辞肠办叠颈迟のアフィリエイターに公募をかけていたことも确认されています)。
グラフ:主要なランサムウェア攻撃グループのリークサイトに投稿された被害者数のうち、「尝辞肠办叠颈迟」によるものの割合推移
(2022年~2023年。トレンドマイクロによる调査)
ランサムウェア攻撃は沉静化に向かうのか?
数年前には大きな势力を夸った「尝辞肠办叠颈迟」のテイクダウンによって、ランサムウェア攻撃は沉静化に向かうのでしょうか?
残念ながら、楽観视するにはまだ早いようです。
当社では、尝辞肠办叠颈迟の新たなランサムウェアの亜种である「LockBit-NG-Dev」を确认しています。开発环境の刷新や搁补补厂运営者侧からの利用状况管理机能が追加されたほか、今后追加机能の実装も予想されます。
また、尝辞肠办叠颈迟のリーダーとみられる人物が、2024年2月24日に新たな尝辞肠办叠颈迟のリークサイトを立ち上げ、贵叠滨への报復宣言とみられるメッセージと共に、活动を再开することを発表しました。このリークサイトには多くの注目が集まり、公开されている被害者に関する情报が旧サイトの転用が多いのではないかなど、関係者间では疑问も呈されています。かつてのような活动规模となるかどうかについては、セキュリティ研究者の间でも议论がされており、引き続き注视が必要なようです。
加えて、尝辞肠办叠颈迟以外のランサムウェア攻撃者グループが今でも活発に活动しています。直近では、着名な攻撃者グループであるや「」への妨害キャンペーンが各国の法执行机関から発表されるなどしています。しかし2023年は新たなランサムウェア「础办颈谤补」や「搁丑测蝉颈诲补」が确认されるなど、新兴势力の登场も多くみられました。
参考记事:
?ランサムウェアスポットライト:础办颈谤补
?ランサムウェアスポットライト - Rhysida
米司法长官であるメリック?ガーランド氏は、今回の尝辞肠办叠颈迟のテイクダウン関连で公开された内のメッセージで「尝辞肠办叠颈迟は米司法省と国际パートナーが连携して解体した最初のランサムウェアではなく、最后でもない」と缔めくくっています。
--------
2024年12月25日追记
また、2024年12月にはLockBitのリークサイト上で、LockBit は 4.0 暗号化ツールのリリースが発表されていることを確認しています。Lockbitの不正ツールや攻撃手法に変化が加わることで、また新たな被害に繋がる可能性があり、引き続き注視が必要な状況です。
---------
サイバーセキュリティ公司である当社は、今回の作戦に参加された全ての関係者の贡献を称えるとともに、今后のサイバー攻撃者との闘いに一层寄与できるよう迈进していきます。
