LockBit終了

LockBitは、RaaSを展開する脅威アクターです。
RaaSは、Ransomware as a Serviceです。
RaaSはaffiliatesに対し、ランサムウェアを展開するうえで必要となるさまざまなツールを提供します。
それらを使用して、affiliatesは侵害活動を展開します。

LockBitは、2022年のConti終了以降では、最大の活動を展開する脅威アクターでした。
しかし、そのLockBitの活動は、継続できない状態になりました。

• 作戦名
  LockBitの壊滅作戦は、名称をOperation Cronosと命名されました。
  NCAやFBIをはじめとした多くの国の法執行機関の連携で実行されました。

   

• サーバのテイクダウン
  LockBitの活動では、多くのサーバが使用されていました。
  今回の活動で、LockBitの使用する28台のサーバがテイクダウンされました。

   

• 公開漏洩サイトの終了
  脅威アクターは、侵害した組織への圧力の行使場所として、公開漏洩サイトを運用していました。
  しかし、そのサイトは法執行機関の管理下になりました。
  保存されていたデータは、法執行機関の管理した状態になり、公開されていた組織の情報も非公開となりました。
  代わりに、LockBitの調査で分かった情報が投稿される場所になりました。

   

• 関係者の逮捕
  押収された情報の中には、関係者の情報が多く含まれていました。
  これを活用し、各地で関係者の逮捕の活動が進んでいます。
  ポーランドやウクライナで関係者の逮捕が始まっています。

   

• 悪用された暗号資産のアカウント凍結
  LockBit犯罪活動には、多くの種類の暗号資産の多くのアカウントを使用していました。
  今回の活動で、200以上のアカウントが凍結されました。

   

• 収集された復号キー
  押収した情報の中に、復号キーも含まれていました。
  その数は1000以上ありました。
  今後、順次、被害者との連絡が実施され、暗号化されたデータの復旧が展開されていきます。
  多くの国の法執行機関が連携した作戦でしたので、多くの地域で復旧活動が進むことでしょう。

LockBitは活動継続できない状態になりました。
関連したメンバーが別の名前で別の活動を展開開始してしまう可能性はあるといえます。
しかし、この最大の脅威アクターが終了に追い込まれて、順次、関係者が逮捕されていくというプレッシャーの中で、だれがどのように類似活動を開始できるでしょうか。
この作戦の成功情報は、大きな抑止力になりそうです。

参考記事（外部リンク）：International investigation disrupts the world’s most
harmful cyber crime group
www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group