多作で危険で恐れられている LockBit ランサムウェア カルテルが英国国家犯罪庁 (NCA) や FBI などによって大幅に妨害されたというニュースは、サイバー セキュリティ コミュニティに歓迎されました。
数か月にわたって静かに展開されてきたクロノス作戦では、NCAとそのパートナーがギャングのインフラを侵害し、作戦とその関連会社が使用するサーバー、特注ツール、ダークウェブサイトなどの資産を押収した。
当局はロックビットギャングに関連する多数の仮想通貨アカウントも凍結しており、ポーランドとウクライナで2人が政策拘束されたことが判明した。
専門家は楽観的
削除後に Computer Weekly に連絡を取ったセキュリティ専門家の間では、雰囲気は概して明るいものでした。
「ロックビット Conti が 2022 年半ばに活動を去って以来、最も多作なランサムウェア グループに成長しました。 ソフォスのディレクター兼グローバル フィールド CTO であるチェスター ウィズニウスキー氏は次のように述べています。 「業務を妨害し、関連会社やサプライヤーに不信感を植え付けるものはすべて、法執行機関にとって大きな勝利となります。」
ESET グローバル サイバー セキュリティ アドバイザーのジェイク ムーア氏は次のように述べています。「サイバー犯罪者、特に大規模な作戦グループに所属する犯罪者を逮捕することは非常に困難であるため、混乱は重要な警察戦術です。 LockBit の Web サイトの閉鎖はサイバー犯罪者にとって大きな打撃となり、問題を根絶することはできませんが、犯罪ネットワークを混乱させることで、企業は標的を絞った活動で数百万ポンドを節約できる可能性があります。
「これは、法執行機関が協力して成功を収めていることと、これがつながりのある脅威アクターをターゲットにする最善の方法であり続けることを示しています。
「あらゆるサイバー犯罪捜査において、十分な証拠を見つけることが最も難しい側面だが、これは十分な武力と積極的な警察活動があれば、犯罪が常に報われ続けるわけではないことを浮き彫りにしている」とムーア氏は述べた。
ウィズセキュアの脅威インテリジェンスおよびアウトリーチ担当ディレクター、ティム・ウェスト氏は、作戦の規模(詳細は今後も明らかになり続ける)は祝賀に値すると述べた。
「欧州の法執行機関からのコメントには、ランサムウェア作戦の実行に必要なすべてのインフラストラクチャの包括的な押収が記載されています。 ロックビット自身のリークサイトでのデータの段階的な公開は、ロックビットにとって非常に恥ずかしいだけでなく、彼ら自身が取られた措置の範囲を把握していないことを示唆する可能性がある」とウェスト氏は述べた。
「私たちが知っていることの一つは、法執行機関の集合体は、確実に最大の混乱を確実にし、ロックビットに最大のコストを課すために、短期的および長期的な影響の機会を注意深く比較検討しているであろうということであり、私たちは彼らの活動を弱めたり妨げたりするあらゆる行動を支持するということです」継続運用。 このため、私たちは間違いなく複雑で困難な作戦であったであろうこの作戦を祝い、関係者に祝意を表します。」
ExtraHop のシニア テクニカル マネージャーであるジェイミー モールズ氏は、サイバー犯罪インフラをターゲットにする最近の法執行機関の動き(Hive や ALPHV/BlackCat などに対する同様の作戦を参照)は正しい方法だったと述べました。
「ギャングメンバーの容疑者に対する制裁や身代金を支払う企業への禁止がこれまで議論されてきたが、これらの方法はほとんど効果がない。 ギャングのメンバーは引き渡し法のない国に住んでいることが多く、身代金の支払いの禁止は、その法律が対象としているギャングよりも、関与した企業をより厳しく罰することになる」とモールズ氏は述べた。
「これらのギャングが盗んだデータを販売し、身代金を受け取るために依存しているインフラストラクチャを法執行機関が直接標的にする能力は、このベンチャーの収益性を大幅に低下させます。 これらのギャングにとって敵対的な環境を作り出すことで、オンラインでの悪意のある活動を抑制するための法執行機関による協調的な取り組みが実を結び始めていることがわかります。」
ダークウェブの暗い日々
サーチライト・サイバーの研究者らは、ロックビットの仲間たちの体温を測るために地下サイバー犯罪フォーラムに出入りしているが、このギャングの終焉にはさまざまな反応が寄せられていると述べた。
LockBit の主な代表者である LockBitSupp が積極的に参加していた XSS ロシア語圏フォーラムでは、このニュースに関するスレッドに 100 を超えるコメントが寄せられ、その多くは LockBit の規模と規模のグループがどのようにして排除されたのかを懸念しており、他のコメントも懸念しているNCAによる復号化キーの押収について。
全体として、何らかの形のロックビットは存続するというのが一般的な意見だが、サーチライトの専門家らは、現時点で入手可能な情報が限られているため、多くの登場人物が懸念すべきかどうか迷っているようだと指摘した。
重大な PHP 脆弱性が LockBit に対して使用されましたか?
士気をさらに高めるために、他の XSS フォーラムのメンバーは、運営上のセキュリティの悪さで LockBit を積極的に非難しているようでした。
この 1 日で少しずつ出てきた興味深い情報の中には、NCA とそのパートナーが PHP の重大な脆弱性を犯罪組織に向けた可能性が含まれます。これは、依然として逃亡中の LockBit 管理者によってからかわれています。
いつものように、サイバー犯罪者の発言を額面通りに受け取ってはいけません。 それにもかかわらず、LockBit の没落は、自社のサイバー セキュリティのリスク要因を適切に保護できなかったことと少なからず関係があるという含意は、この物語に心地よい皮肉を与えています。
「ランサムウェアグループは、一般に公開されている脆弱性を利用して、被害者にランサムウェアを感染させることがよくありますが(しかし)今回は、クロノス作戦により、LockBit の運用者は自分たちの薬の味を知ることができました」と Picus Security のセキュリティ研究者、Huseyin Can Yuceel 氏は述べています。
「LockBit 管理者によると、法執行機関は PHP CVE-2023-3824 の脆弱性を悪用して、LockBit の公開サーバーを侵害し、LockBit のソース コード、内部チャット、被害者の詳細、盗まれたデータにアクセスしたとのことです。」
CVE-2023-3824 は、広く使用されているオープンソースの汎用スクリプト言語 PHP に存在する重大な脆弱性です。 この問題は、言語の特定のバージョンで、長さチェックが不十分な場合にスタック バッファ オーバーフローが発生し、メモリ破損やリモート コード実行 (RCE) が発生する可能性がある場合に発生します。
「LockBit グループはバックアップ サーバーが手付かずであると主張していますが、それらがオンラインに戻るかどうかは不明です。 現在、LockBit アソシエートは LockBit サービスにログインできません。 Tox メッセージの中で、敵対者は、再構築後に新しい漏洩サイトを公開すると仲間に伝えました」と Yuceel 氏は述べています。
ロックビットの再構築
私たちが捕らえた観察者の多くが一貫して戻ってくるのはこの時点までです。サイバー犯罪企業が大幅に妨害されたからといって、これがロックビットの道の終わりであるという意味ではありません。
「短期的には、これは何らかの形で阻止または削減につながるだろう」 ロックビット 感染症。 長期的には、通常通りの状況が続くと思います。 根本的な原因を考えてみると、 ロックビット Trustwave の EMEA 侵入テスト担当バイスプレジデント、エド ウィリアムズ氏は次のように述べています。
「ほとんどの組織において、内部的かつ横方向に移動する能力は、昨日と同様に今日でも取るに足らないものです。 私なら 2 ~ 3 か月待つと思います。その後、この種類のランサムウェアの復活が見られるでしょう。攻撃者が今日から教訓を得て、よりうまく追跡できるようになるため、ランサムウェアはさらに洗練されるのではないかと思います。フォワード。”
ウィリアムズの気持ちは他の人たちも同じでした。 NCCグループの脅威インテリジェンス部門グローバル責任者マット・ハル氏もその中にいた。 同氏は、「ロックビットが立ち直れるかどうか、人々が疑問に思うのは間違いない。 このグループは、システムとデータのバックアップを持っていると主張しました。 私たちはこれまで、さまざまなランサムウェア オペレーターがブランドを変更したり、他のグループと提携したり、数か月後に復活したりするのを見てきました。
「今後数日から数週間かけて、クロノス作戦の全容とロックビットグループの真の能力について、より良い理解が得られるでしょう。」
フレクソンの共同創設者兼最高経営責任者(CEO)のカメリア・チャン氏は、「ICBC(中国最大の銀行)に米国国債市場を混乱させるほどひどいサイバー攻撃を仕掛けたギャングが戦わずして沈没するとは期待できない」と語った。 他のランサムウェアギャングのブランド変更で見られたように、LockBit はやがて自らを再発明する可能性さえあります。 さらに、他の脅威アクターがすぐ近くにいることは間違いありません。 企業にとって、これは防御を強化するための警鐘となるはずです。」
Williams 氏は次のように付け加えました。「主な問題は、これらのランサムウェア グループがいかに迅速に再グループ化して、洗練されたサービスを再生成できるかです。 これは絶え間ないいたちごっこであり、罪のない組織は自らの安全を確保し、「割るのが難しい」組織にすることに引き続き注力する必要があります。 世界中の企業は今日のニュースを、パスワード、パッチ適用、ポリシーという 3 つの P を見直す機会として捉えるべきです。」
LockBit の閉鎖後のセキュリティに関する指針は明確です。ランサムウェア活動が一時的に沈静化する可能性を利用して防御を強化します。
Netwrix EMEA 分野 CISO 兼セキュリティ調査副社長の Dirk Schrader 氏は、「企業はデータ、アイデンティティ、インフラストラクチャを保護する取り組みを縮小すべきではありません」と述べています。
「1オンスの予防は1ポンドの治療よりも優れているというアドバイスに耳を傾けてください。 MFA を使用してアカウントが保護されていること、権限がジョブの実行に必要な最小限に制限され、ジャストインタイムのみに存在していること、システムが強化されていること、重要なデータが保護されていることを確認してください。 LockBit が引き続き廃業するかどうかはわかりますが、他の企業がその穴を埋める準備ができているのは確かです。」