英国家犯罪対策庁(NCA)は英国時間2月20日、サイバー犯罪グループ「LockBit」を対象とした国際的共同捜査の詳細を明らかにした。
LockBitは4年前から活動しており、そのランサムウェア攻撃は、世界中の組織を標的とし、身代金の支払いと復旧費用の両方で多額の損失をもたらしている。同グループは、ハッカーや「アフィリエイト」のグローバルネットワークにサービスとしてのランサムウェア(Ransomware-as-a-Service:RaaS)を提供し、攻撃実行に必要なツールやインフラを供給していた。
被害者のネットワークがLockBitの悪意あるソフトウェアに感染すると、データが盗まれ、システムが暗号化される。ファイルを元に戻し、データが公開されないようにするため、仮想通貨(暗号資産)で身代金が要求される。
NCAによると、LockBitの主要な管理環境とダークウェブ上のリークサイトを掌握したという。管理環境は、アフィリエイトが攻撃を構築・実行するのを可能にしていた。リークサイトでは、被害者から盗んだデータをホストし、公開すると脅迫するのに使われていた。現在、同サイトでは、LockBitの能力と作戦を明らかにする一連の情報をホストしている。
NCAはまた、LockBitプラットフォームのソースコードに加えて、膨大な量の情報をグループのシステムから得たと述べる。それらの情報には、グループの活動や、グループに協力し、そのサービスを利用することで世界中の組織に危害を加えた人物たちが含まれるという。
NCAは米連邦捜査局(FBI)と緊密に協力し、日本を含む他の9カ国の法執行機関の支援を受け、「Operation Cronos」と呼ばれる専門タスクフォースの一環としてLockBitを秘密裏に調査してきたと明らかにする。
LockBitは「Stealbit」として知られるデータ流出ツールを持ち、アフィリエイトがデータを盗むために使用していた。今回、3カ国にあるこのインフラがOperation Cronosタスクフォースのメンバーによって押収され、LockBitアフィリエイトに属する28のサーバーも閉鎖されたという。
さらに、欧州刑事警察機構によって、ポーランドとウクライナで2人のLockBit関係者が検挙され、同グループに関連する200以上の仮想通貨口座が凍結された。米司法省は、LockBitを使用してランサムウェア攻撃を実行したとされる2人が刑事告発され、身柄を拘束され、米国で裁判を受けると発表した。米国はまた、LockBit攻撃を共謀したとして、ロシア国籍の2人に対する起訴状も公開したという。
NCAは、1000以上の復号キーを入手しており、今後、英国を拠点とする被害者に連絡し、サポートを提供し、暗号化されたデータの回復を支援する予定だという。
