その後のLockBit

最近、LockBitの話題を聞いているでしょうか。
あまり大きな話題になっている感じがしません。
LockBitについて、思い返してみようと思います。

• 多くのRaaSが台頭した
  ここ数年、非常に多くのRaaS（Ransomware as a Service）が登場してきました。
  そのなかでも、特にいくつかのグループは大きな問題となっていましたが、その一つにLockBitがありました。
• 特に活発だった2023年
  LockBitは、2023年には活動が非常に多くなり、2023年で集計すると、すべてのランサムウェア攻撃の25%～33%を占めるまでになっていました。
• 大きな組織
  LockBitの採用しているモデルはRaaSでした。
  中心となるグループが犯罪のツールの準備などを実施し、協力者（アフィリエイター）を募ります。
  アフィリエイターは、準備された犯罪ツールを使ってランサムウェア攻撃を実施します。
  被害者との交渉などの最終的な犯罪の締めくくり部分も、中心となるグループが取り仕切るような形式になっていました。
  このような大規模な仕組みを展開していたために活動が大きくなっていました。
• Operation Cronos
  クロノス作戦が2023年2月に実施されました。
  NCAやFBIをはじめとした多くの国の法執行機関の連携で実行されました。
  LockBitの活動では、多くのサーバが使用されていました。
  クロノス作戦の活動で、LockBitの使用する28台のサーバがテイクダウンされました。
  公開漏洩サイトが終了され、関係者情報の大量の押収、多数の関係者の逮捕、悪用された暗号資産のアカウント凍結、収集された復号キーによる被害者の救済、クロノス作戦の内容は広い領域で展開されました。
• 戻ってきたと宣伝するLockBitSupp
  LockBitSuppは、LockBitの中心的な活動を実施していたとされている脅威アクターです。
  クロノス作戦の実施後ほんの数日で、LockBitSuppは復活を宣言しました。
  システムが法執行機関に押収されてしまった原因は脆弱性にあったので、これを解消したものを用意した、とか、強化した犯罪用Webパネルを新たに準備した、などの話題を列挙し、LockBitの活動の再開を宣言しました。

いままでいくつもの脅威アクターグループが検挙されて活動停止されてきました。
Black Basta、 Conti、Hive 、Royal、という名前、記憶に残っているでしょうか。
これらは一度は停止に追い込まれたように見えて、その後名前を変えるなどして、何らかの形で復活してしまっていた例となっています。

LockBitの活動終了作戦も、これらの脅威アクターグループのその後と同じような道をたどるのかもしれないと思われた時もありました。
その後数か月が経過しました。
活動の再開を宣言していたLockBitですが、大きな活動を展開するに至っていないと思われます。
クロノス作戦の活動内容が広い範囲にわたっていたことで、アフィリエイターやサイバー犯罪コミュニティ全体の間でLockBitの評判が低下したことが大きな理由なのかもしれません。

LockBitが失ったものは、アフィリエイターの信用だけではありませんでした。
LockBitは身代金を支払えば盗まれたデータを破棄すると約束していたのですが、実際には、支払い後も盗んだデータは保持されたままとなっていたことがわかりました。
支払った被害者は自分の環境は復号化できたのかもしれませんが、LockBitは約束を守らなかったということになります。
こうして被害者のLockBitに対する信用も失われました。
再始動したLockBitに対して身代金を支払う被害者は存在するのでしょうか。

器（犯罪システム）は再構築できた、しかし、アフィリエイターはなかなか集まらない。
そして、犯罪を行ってもお金を払う被害者がいない、という状況なのでしょう。

システムは失われても再構築することは可能です。
しかし、信用は壊すことは簡単でも再度構築することは容易ではないということなのかもしれません。
どんな領域でも信用が第一、ということなんでしょうかね。

参考記事（外部リンク）：Unveiling the Fallout: Operation Cronos’ Impact on LockBit
Following Landmark Disruption
www.trendmicro.com/en_us/research/24/d/operation-cronos-aftermath.html