ブラック・ブラック：世界最大のランサムウェアグループLockBitのハッキング事件分析

まとめ:LockBitとは?

LockBitは、2019年9月に最初に登場したアクティブなランサムウェア・アズ・ア・サービス(RaaS、Ransomware-as-a-Service)グループであり、ファイルを暗号化するときに「.abcd」サフィックスを追加する初期バージョンで、かつては「ABCDランサムウェア」として知られていました。 その技術的成熟度、高度な自動化、高い恐喝効率で知られるこのグループは、世界中の企業、政府、教育、医療機関に対して多数の攻撃を開始し、いくつかの国家安全保障機関(APT)組織によって高度で持続的な脅威として分類されています。 この組織については、昨年開示しました。

!

LockBitの技術は継続的に進化し、複数のバージョンが開発されています：

• LockBit 1.0 (2019)：“.abcd”の暗号化サフィックスを特徴とし、Windowsプラットフォームをサポート、RSA + AESアルゴリズムを使用して暗号化し、実行速度が速い；
• LockBit 2.0 (2021)：自動化の拡散能力を導入し、ランサムウェアの効率を向上させる；
• LockBit 3.0 / LockBit Black (2022)：モジュラーデザインを持ち、強力な分析耐性を備え、初めて脆弱性報奨プログラムを導入し、外部のセキュリティ研究者にランサムウェアのテストを報奨しています；
• LockBit Green（噂されている2023年版）：解散したContiランサムウェアグループの一部コードを統合している疑いがある。

RaaSモデルの典型的な代表として、LockBitはコア開発者が提供するランサムウェアツールキットを通じて、「加盟者(Affiliates)」を引き付け、具体的な攻撃、浸透、展開を担当させ、身代金の分配によって協力を促進します。一般的な攻撃者は70%の分配を得ることができます。また、その「二重脅迫」戦略も非常に圧力をかけるものです。つまり、一方ではファイルを暗号化し、もう一方ではデータを盗み取り、公開すると脅迫します。被害者が身代金の支払いを拒否した場合、データは専用の漏洩サイトに掲載されます。

技術的な観点から、LockBitはWindowsおよびLinuxシステムをサポートしており、マルチスレッド暗号化技術とAES-NI命令セットを使用して高性能な暗号化を実現しています。また、内部ネットワークでの横移動能力（PSExecやRDPのブルートフォース攻撃など）を備えており、暗号化の前にデータベースを自動的に停止し、バックアップなどの重要なサービスを削除します。

LockBitの攻撃は通常高度に体系化され、典型的なAPTの特徴を持っています。攻撃チェーンは大まかに次のようになります：

• 初期アクセス（フィッシングメール、エクスプロイト、RDPの弱いパスワード） *ラテラルムーブメント(Mimikatz、Cobalt Strikeなど) *特権の昇格
• データの盗用
• ファイル暗号化
• ランサムウェアメッセージをポップアップ
• 情報を漏洩サイトに公開（未払いの場合）

LockBitが活動していた期間中に多くのセンセーショナルな事件を引き起こしました：

• 2022年にイタリアの税務署が攻撃され、数百万人の納税者のデータに影響を与えました；
• カナダの SickKids 病院への侵入を主張した後、謝罪し、復号器を提供した；
• 多くの製造業者（防衛、医療機器企業など）がLockBitによって暗号化されました；
• 2022年第2四半期、世界のランサムウェア攻撃の40%以上を占める；
• 1000社以上に影響を与え、ContiやREvilなどの古参グループを遥かに超えています；
• 身代金要求の成功率は非常に高く、2022年に提案された1億ドルの身代金のうち、半分以上が成功裏に得られました。

しかし、LockBitのように強力であっても、完璧ではありません。2024年2月19日、LockBitのウェブサイトはイギリス国家犯罪局、アメリカ連邦捜査局、欧州刑事警察機構、国際警察機関の合同捜査によって押収され、多くのLockBitメンバーが逮捕または指名手配されましたが、コア開発チームは完全には壊滅しておらず、一部のサンプルは依然としてダークウェブで流通しており、分派団体によって引き続き使用されています。

緊急事態：LockBit サイトがハッキングされました

今日、SlowMist(は情報を受け取りました：LockBitのonionサイトがハッキングされ、攻撃者はそのコントロールパネルを乗っ取っただけでなく、データベースを含むパッケージファイルを公開しました。この行為により、LockBitのデータベースが漏洩し、ビットコインアドレス、秘密鍵、チャット履歴、および関連会社などの機密情報が含まれています。

! [])https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683(

よりドラマチックなのは、ハッカーが改ざんされたサイトに意味深い一言を残したことです。「犯罪を犯さないでください、犯罪は良くありません、プラハからのメッセージです。」

不久後、関連データがGitHubなどのプラットフォームにアップロードされ、迅速に拡散した。

! [])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(

LockBitの公式は、そのチャンネルでロシア語で応答し、概ね以下のような意味です：

! [])https://img.gateio.im/social/moments-0e1dd21116426070d0b50e217c2c51c(

Rey：LockBitがハッキングされたの？進展はあるの？

LockBitSupp：許可コードを持つ軽量コントロールパネルだけが攻撃されました。復号器は盗まれず、会社のデータも損なわれていません。

Rey：はい、しかしこれはビットコインアドレス、会話の内容、鍵などが漏洩したことを意味します…これも評判に影響しますよね？

Rey：ロッカービルダー（ランサムウェアビルダー）またはソースコードは盗まれましたか？

レイ：あなたたちは再び作業を再開しますか？もしそうなら、どのくらいの時間がかかりますか？

LockBitSupp：ビットコインアドレスと会話内容のみが盗まれ、復号器は盗まれていません。はい、これは確かに評判に影響を与えますが、修復後の再上場も評判に影響を与えます。ソースコードは盗まれていません。私たちはすでに復旧作業に取り組んでいます。

レイ：はい、皆さんに幸運を祈ります。回答ありがとうございます。

)リーク分析

スローミスト###SlowMist(は、関連する漏洩ファイルを第一時間でダウンロードしました（内部研究用途のみで、バックアップは迅速に削除されました）。私たちは、ディレクトリ構造、コードファイル、およびデータベース内容の初期分析を行い、LockBitの内部運用プラットフォームのアーキテクチャおよび機能コンポーネントを復元しようとしています。

! [])https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(

ディレクトリ構造から見ると、これは軽量なPHPフレームワークで書かれたLockBitの被害者管理プラットフォームのようです。

ディレクトリ構造分析：

• api/、ajax/、services/、models/、workers/ はプロジェクトに一定のモジュール化を示していますが、Laravelなどのフレームワークの規約に従った構造（例：app/Http/Controllers）には適合していません；
• DB.php、prodDB.php、autoload.php、functions.phpは、データベースと関数のブートストラップが手動で管理されていることを示します。
• vendor/ + composer.json は Composer を使用しているため、サードパーティライブラリが導入されている可能性がありますが、全体のフレームワークは自分で書かれているかもしれません；
• victim/やnotifications-host/などのフォルダー名は、特にセキュリティ研究において疑わしい。

したがって、私たちは「プラハ」出身のハッカーが PHP 0 day または 1 day を使用してウェブサイトとコンソールを制御する可能性があると推測しています。

管理コントロールパネルは以下の通りです:

! [])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(

一部のチャット通信情報：

! [])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(

赤い枠で囲まれた情報を見てみましょう：被害者のCEOはco … coinbase？身代金を支払ったのですか？

同時に、漏洩したデータベースには約60,000のBTCアドレスが含まれています：

! [])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(

漏洩したデータベースには75人のユーザーのアカウントとパスワードがあります：

! [])https://img.gateio.im/social/moments-9ad7b2a165b0b44b488a8ce629c92ee5(

! [])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(

面白い値段交渉のチャット：

! [])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(

支払い成功の注文をランダムに探す：

! [])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(

注文アドレス：

! [])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(

MistTrackを使用してビットコインの受取アドレスを追跡する：

! [])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(

マネーロンダリングの資金の流れは比較的明確で、最終的には取引プラットフォームに流入します。スペースの制約上、今後MistTrackは暗号通貨アドレスに関してさらに分析を行いますので、興味のある方はX：@MistTrack_ioをフォローしてください。

現在、LockBit の公式はこの事件について最新の声明を発表しました。大まかな翻訳は以下の通りです：

! [])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(

“2025年5月7日に、当社の自動登録機能を持つ軽量コントロールパネルが侵害され、誰でも認可をバイパスして直接そのパネルにアクセスできるようになりました。データベースが盗まれましたが、解読器や被害会社の機密データには関与していません。現在、具体的な侵入方法を調査中で、再構築プロセスを開始しています。メインコントロールパネルとブログは正常に稼働しています。”

「今回の攻撃者は‘xoxo’という名前の人で、プラハ出身だと言われています。彼の身元に関する正確な情報を提供していただければ——情報が信頼できる限り、私はお金を出して購入するつもりです。」

LockBitのこの反応は皮肉な意味合いを持っています。それ以前に、アメリカ合衆国国務省は、LockBitグループの核心メンバーまたは重要な協力者の身元と位置情報を取得するために、最高で1,000万ドルの報酬を提供するという告知を出しました。また、その加盟者)の攻撃行為を暴露することを奨励するために、さらに最高500万ドルの報酬が提供されています。

現在、LockBitがハッキングされ、逆にチャンネル内で攻撃者の手がかりを探すために値を付けている——まるで「バountyハンター機構」が自分自身に逆作用しているかのようで、笑いと悲しみが入り混じる状況であり、さらに内部のセキュリティシステムの脆弱性と混乱を暴露している。

(概要

LockBitは2019年から活動しており、世界で最も危険なランサムウェアギャングの1つであり、身代金の累積推定額(非公開データを含む)は少なくとも1億5,000万ドルに上ります。 そのRaaS(Ransom-as-a-Service)モデルは、多数のフランチャイジーを引き付けて攻撃に参加させます。 このギャングは2024年初頭に「オペレーション・クロノス」の施行に見舞われたが、現在も活動している。 この事件は、LockBitの内部システムのセキュリティに対する大きな課題であり、その信頼性、アフィリエイトの信頼、および運用の安定性に影響を与える可能性があります。 同時に、サイバー空間におけるサイバー犯罪組織に対する「逆攻撃」の傾向も示しています。

マヌのセキュリティチームは各方面に提案します：

• 継続的な情報モニタリング：LockBitの再構築の動向と潜在的なバリエーションを密接に追跡する；
• ダークウェブの動向に注目：関連フォーラム、サイト、情報源をリアルタイムで監視し、二次漏洩やデータの悪用を防止する；
• RaaS 脅威防御の強化：自らのエクスポージャー面を整理し、RaaS ツールチェーンの識別と阻止メカニズムを強化する；
• 組織の対応メカニズムを整備する：自組織と直接または間接的に関連があることが判明した場合は、直ちに主管機関に報告し、緊急対策を開始することをお勧めします；
• 資金追跡と詐欺防止の連動：疑わしい支払いルートが自社プラットフォームに流入している場合は、オンチェーン監視システムと連携してマネーロンダリング防止を強化する必要があります。

今回の事件は、技術力の高いハッカー集団でさえ、ネットワーク攻撃から完全には免れないことを再確認させてくれます。これもまた、安全専門家が戦い続ける理由の一つです。