【ランサムウェア】サイバー犯罪集団「LockBit」のテイクダウンについて

2024年2月20日、日本を含めた10 ヵ国の法執行機関が参加した作戦「オペレーション・クロノス」が、サイバー犯罪集団「LockBit」をテイクダウンしました。 同機関は、運営者2名を逮捕した他、サイバー攻撃に利用されたサーバーの撤去及び、ウェブサイトを押収するなど、LockBitの活動停止に成功しました。

Law enforcement disrupt world’s biggest ransomware operation

LockBit はランサムウェアの一種で、2019 年末頃出現した当時は「ABCD」という名前で呼ばれていました。それ以来、このマルウェアは急速に成長し、2022 年には世界中で最も有害なランサムウェアになりました。日本国内でも2021年徳島県の町立病院や2023年の名古屋港の活動停止など100件を超える被害を引き起こしました。

LockBitの攻撃手法の特徴の 1 つとしては、「三重恐喝」が知られています。この攻撃は、被害者のデータを暗号化して使用できなくする従来のランサムウェアの手法の他に、窃取した情報を公開するとの脅迫、そしてDDoS 攻撃を行うと脅迫し、身代金の支払いを要求します。

「オペレーション・クロノス」ではLockBit のシステムに侵入してデータを取得し、制御を奪い、ロックアウトするという 3 つの手段で、LockBit の活動を停止させました。 これにより、LockBitのデータ流出やサーバー等のインフラに関与している 14,000 を超える不正アカウントが特定され、法執行機関から削除依頼をしています。

また日本では警察庁がランサムウェアLockBitによって暗号化された被害データを復号するツールをユーロポールの支援を受けて英国NCA・米国とFBIとともに開発し、警察庁サイバー警察局からユーロポールに提供しています。

No More Ransom

FFRI yaraiではマルウェア速報として過去のLockBitの検知情報を公開しています。

発生/報告時期防御エンジン
リリース時期
マルウェア名称
2022年7月2019年11月LockBit 3.0
2022年7月2019年11月LockBit 3.0 (PowerShell版)
2021年8月2019年1月LockBit 2.0
2020年9月2018年2月Lockbit

過去、同様にテイクダウンされたEmotetは、わずか10ヶ月後に復活の兆しを見せ、その後も度々攻撃が観測されています。今回LockBitはテイクダウンされましたが、犯罪組織は再構築され、サイバー攻撃を繰り返す可能性は高く、首謀者と言われるハッカーが数日後に復活表明した報道もあり※1※2、今後の推移を注意深く観察する必要があります。 こうしたサイバー犯罪組織による攻撃は年々増加しています。LockBitのみならず、サイバー攻撃を受けたときには最寄りの警察に相談してください。

また、FFRI yaraiは、「先読み防御」技術を搭載した5つの防御エンジンで、検査対象のプログラムを多角的なアプローチで分析し、LockBitのみならず未知の脅威を高精度で防御します。 また、FFRI yaraiはEDR機能を追加費用不要な標準機能として搭載しています。シンプルな機能のため、ユーザーは高額なマネージドサービスを利用することなく、自組織でEDRの運用が可能です。さらに、Windows 10の標準機能であるWindows Defenderウイルス対策との連携機能も搭載しており、マルウェアからの多層防御を実現します。

※1 https://www.47news.jp/10579546.html
※2 https://medium.com/@wescssp/lockbit-servers-revived-responds-to-the-fbi-79694632c0cd

2024-03-08

関連記事 Related Post

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

HOME  ≫ FFRIセキュリティ BLOG  ≫ 2024年  ≫ 2024年3月  ≫ 【ランサムウェア】サイバー犯罪集団「LockBit」のテイクダウンについて

pagetop