米国 英国 LockBitのネットワークに侵入し破壊

こんにちは、丸山満彦です。

米国の司法省、財務省、英国の国家犯罪対策庁、NCSC、ユーロポールがロシアのLockBitのネットワークに侵入し破壊し、復号鍵を取得し、容疑者を起訴し、資産を凍結したと発表していますね。。。

各国ともランサムウェアには手を焼いていますからね。。。

 

---

 

米国...

● U.S. Department of Justice

・2024.02.20 U.S. and U.K. Disrupt LockBit Ransomware Variant

U.S. and U.K. Disrupt LockBit Ransomware Variant	米国と英国がLockBitランサムウェアの亜種を破壊する
U.S. Indictment Charges Two Russian Nationals with Attacks Against Multiple U.S. and International Victims; FBI Seizes Infrastructure; and Department of Treasury Takes Additional Action Against LockBit	米国および国際的な複数の被害者に対する攻撃で2人のロシア人を起訴；FBIがインフラを押収、財務省がLockBitに追加措置を取る
The Department of Justice joined the United Kingdom and international law enforcement partners in London today to announce the disruption of the LockBit ransomware group, one of the most active ransomware groups in the world that has targeted over 2,000 victims, received more than $120 million in ransom payments, and made ransom demands totaling hundreds of millions of dollars.	司法省は本日、ロンドンで英国および国際的な法執行機関のパートナーとともに、2,000人以上の被害者を標的とし、1億2,000万ドル以上の身代金の支払いを受け、総額数億ドルの身代金要求を行ってきた世界で最も活発なランサムウェアグループの1つであるLockBitランサムウェアグループの破壊を発表した。
The U.K. National Crime Agency’s (NCA) Cyber Division, working in cooperation with the Justice Department, Federal Bureau of Investigation (FBI), and other international law enforcement partners disrupted LockBit’s operations by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data.	英国国家犯罪捜査局（NCA）のサイバー部門は、司法省、連邦捜査局（FBI）、その他の国際的な法執行パートナーと協力し、LockBitが組織のインフラに接続するために使用していた多数の一般向けウェブサイトを押収し、LockBitの管理者が使用していたサーバーを押収することで、LockBitの運営を妨害し、LockBitの行為者がネットワークを攻撃して暗号化し、盗んだデータを公開すると脅して被害者を恐喝する能力を停止させた。
“For years, LockBit associates have deployed these kinds of attacks again and again across the United States and around the world. Today, U.S. and U.K. law enforcement are taking away the keys to their criminal operation,” said Attorney General Merrick B. Garland. “And we are going a step further — we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data. LockBit is not the first ransomware variant the Justice Department and its international partners have dismantled. It will not be the last.”	「何年もの間、LockBitの仲間は、米国や世界中でこの種の攻撃を何度も何度も展開してきた。今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。「そして我々はさらに一歩進んで、押収したLockBitのインフラから鍵を入手し、被害者が押収したシステムを復号化し、データへのアクセスを取り戻すのを支援している。LockBitは、司法省とその国際的パートナーが解体した最初のランサムウェアの亜種ではない。最後でもないだろう」。
Additionally, the NCA, in cooperation with the FBI and international law enforcement partners, has developed decryption capabilities that may enable hundreds of victims around the world to restore systems encrypted using the LockBit ransomware variant. Beginning today, victims targeted by this malware are encouraged to contact the FBI at [web] to enable law enforcement to determine whether affected systems can be successfully decrypted.	さらに、NCAはFBIおよび国際的な法執行パートナーと協力し、世界中の数百人の被害者がLockBitランサムウェア亜種で暗号化されたシステムを復元できる可能性のある復号化機能を開発した。本日より、このマルウェアに狙われた被害者はFBI（[web]）に連絡し、被害を受けたシステムの復号化に成功するかどうかを法執行機関が判断できるようにすることが推奨される。
“Today’s actions are another down payment on our pledge to continue dismantling the ecosystem fueling cybercrime by prioritizing disruptions and placing victims first,” said Deputy Attorney General Lisa Monaco. “Using all our authorities and working alongside partners in the United Kingdom and around the world, we have now destroyed the online backbone of the LockBit group, one of the world’s most prolific ransomware gangs. But our work does not stop here: together with our partners, we are turning the tables on LockBit — providing decryption keys, unlocking victim data, and pursuing LockBit’s criminal affiliates around the globe.”	リサ・モナコ司法副長官は、「本日の措置は、混乱を優先し、被害者を最優先することで、サイバー犯罪に拍車をかけているエコシステムを解体し続けるという我々の誓約の新たな下支えとなる」と述べた。「あらゆる権限を駆使し、英国をはじめ世界中のパートナーと協力することで、我々は今、世界で最も多発するランサムウェア集団のひとつであるLockBitグループのオンライン・バックボーンを破壊した。しかし、我々の仕事はここで終わらない。パートナーとともに、我々はLockBitに逆転を仕掛けている。復号化キーのプロバイダを提供し、被害者データのロックを解除し、世界中にいるLockBitの犯罪関連者を追求している。
The Justice Department also unsealed an indictment obtained in the District of New Jersey charging Russian nationals Artur Sungatov and Ivan Kondratyev, also known as Bassterlord, with deploying LockBit against numerous victims throughout the United States, including businesses nationwide in the manufacturing and other industries, as well as victims around the world in the semiconductor and other industries. Today, additional criminal charges against Kondratyev were unsealed in the Northern District of California related to his deployment in 2020 of ransomware against a victim located in California.	司法省はまた、Bassterlordとしても知られるロシア人のArtur SungatovとIvan Kondratyevを、製造業やその他の業界の米国中の企業、および半導体やその他の業界の世界中の被害者を含む、米国中の多数の被害者に対してLockBitを展開したとして、ニュージャージー州で得た起訴状を公開した。本日、Kondratyevに対する追加の刑事告発がカリフォルニア州北部地区で行われ、2020年にカリフォルニア州に所在する被害者に対するランサムウェアの展開に関連するものであった。
Finally, the Department also unsealed two search warrants issued in the District of New Jersey that authorized the FBI to disrupt multiple U.S.-based servers used by LockBit members in connection with the LockBit disruption. As disclosed by those search warrants, those servers were used by LockBit administrators to host the so-called “StealBit” platform, a criminal tool used by LockBit members to organize and transfer victim data.	最後に、同局はニュージャージー州で発行された2通の捜査令状も公開した。この令状は、LockBitの破壊工作に関連して、LockBitのメンバーが使用していた複数の米国拠点のサーバーを妨害することをFBIに認可するものである。これらの捜索令状で明らかにされているように、これらのサーバーはLockBitの管理者がいわゆる「StealBit」プラットフォームをホストするために使用していた。
“Today, the FBI and our partners have successfully disrupted the LockBit criminal ecosystem, which represents one of the most prolific ransomware variants across the globe,” said FBI Director Christopher A. Wray. “Through years of innovative investigative work, the FBI and our partners have significantly degraded the capabilities of those hackers responsible for launching crippling ransomware attacks against critical infrastructure and other public and private organizations around the world. This operation demonstrates both our capability and commitment to defend our nation's cybersecurity and national security from any malicious actor who seeks to impact our way of life. We will continue to work with our domestic and international allies to identify, disrupt, and deter cyber threats, and to hold the perpetrators accountable.”	FBIのクリストファー・A・レイ長官は、次のように述べた。「今日、FBIと我々のパートナーは、世界中で最も多発しているランサムウェアの代表者であるLockBitの犯罪エコシステムを破壊することに成功した。長年の革新的な捜査活動を通じて、FBIと我々のパートナーは、世界中の重要インフラやその他の公的・私的組織に対して破壊的なランサムウェア攻撃を仕掛けているハッカーの能力を大幅に低下させた。この作戦は、我々の生活様式に影響を与えようとする悪意ある行為者から、我が国のサイバーセキュリティと国家安全保障を守る我々の能力とコミットメントを示すものである。我々は、サイバー脅威を特定し、混乱させ、抑止し、犯人の責任を追及するために、国内外の同盟国と協力し続ける」。
According to the indictment obtained in the District of New Jersey, from at least as early as January 2021, Sungatov allegedly deployed LockBit ransomware against victim corporations and took steps to fund additional LockBit attacks against other victims. Sungatov allegedly deployed LockBit ransomware against manufacturing, logistics, insurance, and other companies located in Minnesota, Indiana, Puerto Rico, Wisconsin, Florida, and New Mexico. Additionally, as early as August 2021, Kondratyev similarly began to allegedly deploy LockBit against multiple victims. Kondratyev, operating under the online alias “Bassterlord,” allegedly deployed LockBit against municipal and private targets in Oregon, Puerto Rico, and New York, as well as additional targets located in Singapore, Taiwan, and Lebanon. Both Sungatov and Kondratyev are alleged to have joined in the global LockBit conspiracy, also alleged to have included Russian nationals Mikhail Pavlovich Matveev and Mikhail Vasiliev, as well as other LockBit members, to develop and deploy LockBit ransomware and to extort payments from victim corporations.	ニュージャージー州で入手した起訴状によると、Sungatovは少なくとも2021年1月の早い時期から、被害企業に対してLockBitランサムウェアを展開し、他の被害者に対してLockBitの攻撃を追加するための資金を調達する手段を講じたとされている。Sungatovは、ミネソタ、インディアナ、プエルトリコ、ウィスコンシン、フロリダ、ニューメキシコに所在する製造、物流、保険、その他の企業に対してLockBit ランサムウェアを展開したとされる。さらに、2021年8月の時点で、Kondratyevも同様に、複数の被害者に対してLockBitを展開し始めたとされている。Kondratyevは「Bassterlord」というオンライン偽名で活動し、オレゴン州、プエルトリコ、ニューヨークの自治体や民間の標的、さらにシンガポール、台湾、レバノンの標的に対してLockBit を展開したとされる。SungatovとKondratyevの両名は、ロシア人のMikhail Pavlovich MatveevとMikhail Vasiliev、および他のLockBitメンバーも参加したとされる世界的なLockBitの陰謀に加わり、LockBitランサムウェアを開発・展開し、被害企業から支払いを強要したとされている。
“Today’s indictment, unsealed as part of a global coordinated action against the most active ransomware group in the world, brings to five the total number of LockBit members charged by my office and our FBI and Computer Crime and Intellectual Property Section partners for their crimes,” said U.S. Attorney Philip R. Sellinger for the District of New Jersey. “And, even with today’s disruption of LockBit, we will not stop there. Our investigation will continue, and we remain as determined as ever to identify and charge all of LockBit’s membership — from its developers and administrators to its affiliates. We will put a spotlight on them as wanted criminals. They will no longer hide in the shadows.”	ニュージャージー州のフィリップ・R・セリンジャー連邦検事は次のように述べた。 「世界で最も活発なランサムウェア・グループに対する世界的な協調行動の一環として封印が解かれた今日の起訴により、私のオフィスとFBI、コンピュータ犯罪・知的財産課のパートナーによって起訴されたLockBitのメンバーは合計5人になった。そして、今日のLockBitの破壊をもって、私たちは終わるつもりはない。私たちの捜査は継続し、LockBitのメンバー全員（開発者や管理者から関連者まで）を特定し、告発する決意をこれまでと同様に固めている。我々は彼らを指名手配犯としてスポットライトを当てる。彼らはもはや影に隠れることはない」。
With the indictment unsealed today, a total of five LockBit members have now been charged for their participation in the LockBit conspiracy. In May 2023, two indictments were unsealed in Washington, D.C., and the District of New Jersey charging Matveev with using different ransomware variants, including LockBit, to attack numerous victims throughout the United States, including the Washington, D.C., Metropolitan Police Department. Matveev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime Rewards Program, with information accepted through the FBI tip website at [web]. In November 2022, a criminal complaint was filed in the District of New Jersey charging Vasiliev in connection with his participation in the LockBit global ransomware campaign. Vasiliev, a dual Russian-Canadian national, is currently in custody in Canada awaiting extradition to the United States. In June 2023, Russian national Ruslan Magomedovich Astamirov was charged by criminal complaint in the District of New Jersey for his participation in the LockBit conspiracy, including his deployment of LockBit against victims in Florida, Japan, France, and Kenya. Astamirov is currently in custody in the United States awaiting trial.	本日公開された起訴状により、LockBitの陰謀に参加した合計5人のLockBit メンバーが起訴された。2023年5月、ワシントンD.C.とニュージャージー州地区で、LockBitを含むさまざまなランサムウェアの亜種を使用し、ワシントンD.C.警視庁を含む米国中の多数の被害者を攻撃した罪で、マトヴェエフを起訴する2件の起訴状が公開された。マトヴェエフは現在、米国務省の国際組織犯罪報奨金プログラムを通じて最高1,000万ドルの報奨金の対象となっており、FBIの報告サイト（[web]）で情報を受け付けている。2022年11月、ニュージャージー州地区で、LockBitグローバル・ランサムウェア・キャンペーンへのワシーリエフの参加に関連して、ワシーリエフを告発する刑事告訴状が提出された。ロシアとカナダの二重国籍者であるワシーリエフは、現在カナダで身柄を拘束され、米国への身柄引き渡しを待っている。2023年6月、ロシア国籍のルスラン・マゴメドビッチ・Astamirovは、フロリダ、日本、フランス、ケニアの被害者に対するLockBitの展開を含むLockBitの陰謀への参加により、ニュージャージー州地区で刑事告訴された。Astamirovは現在米国で拘留され、裁判を待っている。
Kondratyev, according to the indictment obtained in the Northern District of California and unsealed today, is also charged with three criminal counts arising from his use of the Sodinokibi, also known as REvil, ransomware variant to encrypt data, exfiltrate victim information, and extort a ransom payment from a corporate victim based in Alameda County, California.	カリフォルニア州北部地区で入手され、本日公開された起訴状によると、Kondratyevはまた、データを暗号化し、被害者情報を流出させ、カリフォルニア州アラメダ郡に拠点を置く企業の被害者から身代金の支払いを強要するために、REvilとしても知られるランサムウェアの亜種Sodinokibiを使用したことに起因する3つの刑事訴因で起訴されている。
The LockBit ransomware variant first appeared around January 2020 and, leading into today’s operation, had grown into one of the most active and destructive variants in the world. LockBit members have executed attacks against more than 2,000 victims in the United States and around the world, making at least hundreds of millions of U.S. dollars in ransom demands and receiving over $120 million in ransom payments. The LockBit ransomware variant, like other major ransomware variants, operates in the “ransomware-as-a-service” (RaaS) model, in which administrators, also called developers, design the ransomware, recruit other members — called affiliates — to deploy it, and maintain an online software dashboard called a “control panel” to provide the affiliates with the tools necessary to deploy LockBit. Affiliates, in turn, identify and unlawfully access vulnerable computer systems, sometimes through their own hacking or at other times by purchasing stolen access credentials from others. Using the control panel operated by the developers, affiliates then deploy LockBit within the victim computer system, allowing them to encrypt and steal data for which a ransom is demanded to decrypt or avoid publication on a public website maintained by the LockBit developers, often called a data leak site.	LockBitランサムウェアの亜種は2020年1月頃に初めて出現し、今日の作戦に至るまで、世界で最も活発で破壊的な亜種の1つに成長していた。LockBitのメンバーは、米国および世界中の2,000人以上の被害者に対して攻撃を実行し、少なくとも数億米ドルの身代金要求を行い、1億2,000万ドル以上の身代金の支払いを受けた。LockBitランサムウェア亜種は、他の主要なランサムウェア亜種と同様、「ransomware-as-a-service」（RaaS）モデルで動作する。このモデルでは、開発者とも呼ばれる管理者がランサムウェアを設計し、アフィリエイトと呼ばれる他のメンバーを募り、アフィリエイトにLockBitを展開するのに必要なツールを提供するために「コントロールパネル」と呼ばれるオンラインソフトウェアダッシュボードを管理する。アフィリエイトは次に、脆弱性のあるコンピューター・システムを特定し、不法にアクセスする。あるときは自らハッキングを行い、またあるときは他人から盗んだアクセス認証情報を購入する。開発者が操作するコントロール・パネルを使って、アフィリエイトは被害者のコンピューター・システム内にLockBitを展開し、データを暗号化して盗み、そのデータを復号化したり、LockBit開発者が管理する公開ウェブサイト（しばしばデータ漏洩サイトと呼ばれる）での公開を回避するために身代金を要求する。
The FBI Newark Field Office is investigating the LockBit ransomware variant.	FBIニューアーク支局は、LockBitランサムウェアの亜種を捜査している。
Assistant U.S. Attorneys Andrew M. Trombly, David E. Malagold, and Vinay Limbachia for the District of New Jersey and Trial Attorneys Jessica C. Peck, Debra Ireland, and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section are prosecuting the charges against Sungatov and Kondratyev unsealed today in the District of New Jersey. The Justice Department’s Cybercrime Liaison Prosecutor to Eurojust and Office of International Affairs also provided significant assistance.	ニュージャージー地区担当のアンドリュー・M・トロンブリー連邦検事補、デビッド・E・マラゴールド、ヴィナイ・リンバキア、およびディビジョン刑事部コンピューター犯罪・知的財産課のジェシカ・C・ペック、デブラ・アイルランド、ホルヘ・ゴンザレス各裁判官は、ニュージャージー地区で本日封印解除されたスンガトフとKondratyevに対する起訴を担当している。司法省の欧州司法機構サイバー犯罪リエゾンプロスペクターおよび国際局も重要な援助を提供した。
The disruption announced today was the result of a joint operation between the FBI; NCA South West Regional Organised Crime Unit; France’s Gendarmerie Nationale Cyberspace Command; Germany’s Landeskriminalamt Schleswig-Holstein and the Bundeskriminalamt; Switzerland’s Federal Office of Police, Public Prosecutor’s Office of the Canton of Zurich, and Zurich Cantonal Police; Japan’s National Policy Agency; Australian Federal Police; Sweden’s Polismyndighetens; Royal Canadian Mounted Police; Politie Dienst Regionale Recherche Oost-Brabant of the Netherlands; Finland’s Poliisi; Europol; and Eurojust.	本日発表された混乱は、FBI、NCA南西地域組織犯罪ユニット、フランス国家国家憲兵サイバー空間司令部、ドイツ・シュレスヴィヒ＝ホルシュタイン州陸軍犯罪捜査局および連邦犯罪捜査局による共同作戦の結果であった； スイスの連邦警察、チューリヒ州検察庁、チューリヒ州警察、日本の警察庁、オーストラリア連邦警察、スウェーデンのポリスミンディヘテンス、カナダ騎馬警察、オランダのPoliisi、フィンランドのPoliisi、欧州刑事警察機構、欧州司法機構。
The FBI Phoenix Field Office and Assistant U.S. Attorney Helen L. Gilbert are investigating and prosecuting the case against Kondratyev in the Northern District of California.	FBIフェニックス支局とヘレン・L・ギルバート連邦検事補は、カリフォルニア州北部地区でKondratyevに対する事件を捜査・起訴している。
Additionally, the Department of the Treasury’s Office of Foreign Assets Control announced today that it is designating Sungatov and Kondratyev for their roles in launching cyberattacks.	さらに、財務省外国資産管理局は本日、サイバー攻撃を開始する役割を果たしたとして、SungatovとKondratyevを指定すると発表した。
As mentioned above, victims of LockBit should contact the FBI at [web] for further information. Additional details on protecting networks against LockBit ransomware are available at StopRansomware.gov. These include Cybersecurity and Infrastructure Security Agency Advisories AA23-325A, AA23-165A, and AA23-075A.	上記の通り、LockBitの被害者は、FBI ([web]) に連絡して詳しい情報を得るべきである。LockBitランサムウェアからネットワークを防御するための詳細は、StopRansomware.govで入手できる。これには、サイバーセキュリティ・インフラセキュリティ庁の勧告AA23-325A、AA23-165A、AA23-075Aが含まれる。
Watch the Attorney General’s remarks:	司法長官の発言を見る：
An indictment is merely an allegation. Under U.S. law, all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	起訴は単なる申し立てに過ぎない。米国の法律では、法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告は無罪と推定される。

 

 

 

財務省

U.S. Department of Treasury

・2024.02.20 United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group

United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group	米国、ロシアを拠点とするランサムウェア「LockBit」グループの関連者を制裁する
The United States imposes sanctions on affiliates of group responsible for ransomware attacks on the U.S. financial sector	米国、米国金融セクターへのランサムウェア攻撃に関与したグループの関連者に制裁を科す
WASHINGTON — Today, the United States is designating two individuals who are affiliates of the Russia-based ransomware group LockBit. This action is the first in an ongoing collaborative effort with the U.S. Department of Justice, Federal Bureau of Investigation, and our international partners targeting LockBit.	ワシントン発 - 米国は本日、ロシアを拠点とするランサムウェア・グループ「LockBit 」の関係者2名を制裁対象に指定した。この措置は、米国司法省、連邦捜査局、およびLockBitを標的とする国際的パートナーとの継続的な共同作業の第一弾である。
“The United States will not tolerate attempts to extort and steal from our citizens and institutions,” said Deputy Secretary of the Treasury Wally Adeyemo. “We will continue our whole-of-government approach to defend against malicious cyber activities, and will use all available tools to hold the actors that enable these threats accountable.”	「米国は、市民や機構から恐喝や窃盗を行おうとする試みを容認しない。「我々は、悪意あるサイバー脅威から身を守るため、政府を挙げてのアプローチを継続し、これらの脅威を可能にする脅威行為者の責任を追及するため、利用可能なあらゆる手段を用いていく。
Russia continues to offer safe harbor for cybercriminals where groups such as LockBit are free to launch ransomware attacks against the United States, its allies, and partners. These ransomware attacks have targeted critical infrastructure, including hospitals, schools, and financial institutions. Notably, LockBit was responsible for the November 2023 ransomware attack against the Industrial and Commercial Bank of China’s (ICBC) U.S. broker-dealer. The United States is a global leader in the fight against cybercrime and is committed to using all available authorities and tools to defend Americans from cyber threats. In addition to the actions announced today, the U.S. government provides critical resources to support potential victims in protecting against and responding to ransomware attacks. For example, last year, the Cybersecurity & Infrastructure Security Agency in conjunction with other U.S. Departments and Agencies and foreign partners published two cybersecurity advisories, “Understanding Ransomware Threat Actors: LockBit” and “LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability.” These advisories detail the threats posed by this group and provide recommendations to reduce the likelihood and impact of future ransomware incidents.	ロシアはサイバー犯罪者に安全な港を提供し続けており、LockBitのようなグループが米国やその同盟国、パートナーに対して自由にランサムウェア攻撃を仕掛けている。これらのランサムウェア攻撃は、病院、学校、金融機構などの重要なインフラを標的にしている。特に、2023年11月に中国工商銀行（ICBC）の米国ブローカー・ディーラーに対して行われたランサムウェア攻撃は、LockBitによるものだった。米国はサイバー犯罪との闘いにおける世界的リーダーであり、サイバー脅威から米国人を守るため、あらゆる認可と手段を駆使することを約束する。本日発表された措置に加え、米国政府はランサムウェア攻撃に対する防御と対応において、潜在的な被害者を支援するための重要なリソースを提供している。例えば、サイバーセキュリティ・インフラ・セキュリティ庁は昨年、他の米省庁や海外のパートナーとともに、2つのサイバーセキュリティ勧告「ランサムウェア脅威行為者の理解」を発表した： LockBit」と「LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」である。これらの勧告は、このグループによる脅威を詳述し、将来のランサムウェアインシデントの可能性と影響を低減するための推奨事項を提供している。
This action follows other recent actions taken by the U.S. against Russian cybercriminals, including the recent trilateral designation of Alexander Ermakov, a Russian national involved in the 2022 ransomware attack against Medibank Private Limited, in coordination with Australia and the United Kingdom and last year’s bilateral sanctions actions against the Trickbot Cybercrime Group with the United Kingdom. Russia has enabled ransomware attacks by cultivating and co-opting criminal hackers. Treasury has previously stressed that Russia must take concrete steps to prevent cyber criminals from freely operating in its jurisdiction. Today’s actions reflect the United States’ commitment to combatting cybercrime and pursuing the bad actors that target victims across the United States, its allies, and its partners.	今回の措置は、Medibank Private Limitedに対する2022年のランサムウェア攻撃に関与したロシア人、アレクサンドル・エルマコフをオーストラリアおよびイギリスと連携して三国間で指定したことや、昨年のイギリスとのTrickbotサイバー犯罪グループに対する二国間制裁措置など、米国がロシアのサイバー犯罪者に対して最近とった他の措置に続くものである。ロシアは犯罪ハッカーを育成し、協力することでランサムウェア攻撃を可能にしてきた。財務省は以前から、ロシアはサイバー犯罪者が自国の司法管轄区で自由に活動することを防ぐために具体的な措置を講じなければならないと強調してきた。本日の行動は、サイバー犯罪と闘い、米国、その同盟国、パートナー国全体の被害者を狙う悪質業者を追及するという米国のコミットメントを反映したものである。
LOCKBIT: A MALICIOUS RUSSIAN RANSOMWARE GROUP	LockBit ：悪質なロシアのランサムウェアグループ
LockBit is a Russia-based ransomware group first observed in 2019 and best known for its ransomware variant of the same name. LockBit operates on a Ransomware-as-a-Service (RaaS) model, where the group licenses its ransomware software to affiliated cybercriminals in exchange for a percentage of the paid ransoms. LockBit is known for its double extortion tactics, where its cybercriminals exfiltrate vast amounts of data from its victims before encrypting the victim’s computer systems and demanding ransom payments. LockBit was the most deployed ransomware variant globally in 2022 and remains prolific today.	LockBitは2019年に初めて観測されたロシアを拠点とするランサムウェア・グループで、同名のランサムウェア亜種で最もよく知られている。LockBitはRansomware-as-a-Service（RaaS）モデルで活動しており、同グループは支払われた身代金のパーセンテージと引き換えに、提携するサイバー犯罪者にランサムウェア・ソフトウェアをライセンスしている。LockBitは、その二重の恐喝戦術で知られており、サイバー犯罪者は被害者のコンピュータシステムを暗号化し、身代金の支払いを要求する前に、被害者から膨大な量のデータを流出させる。LockBitは2022年に世界的に最も導入されたランサムウェアの亜種であり、現在も多発している。
OFAC’s investigation identified LockBit as responsible for the ransomware attack on ICBC, which occurred on November 9, 2023. The ransomware attack disrupted ICBC’s U.S. broker-dealer, affecting the settlement of over $9 billion worth of assets backed by Treasury securities. The ransomware attack caused a blackout of ICBC’s computer systems, resulting in a loss of e-mail and communications. ICBC’s inability to access its systems caused securities to be delivered for settlement with no funds backing the trades.	OFACの調査では、2023年11月9日に発生したICBCへのランサムウェア攻撃の犯人がLockBitであることが特定された。このランサムウェア攻撃はICBCの米国のブローカー・ディーラーを混乱させ、財務省証券を裏付けとする90億ドル以上の資産の決済に影響を与えた。ランサムウェア攻撃はICBCのコンピューターシステムの停電を引き起こし、電子メールとコミュニケーションの喪失をもたらした。ICBCがシステムにアクセスできなかったため、取引の裏付けとなる資金がないまま決済のために証券が引き渡された。
OFAC TARGETS AFFILIATES OF LOCKBIT RANSOMWARE GROUP	OFAC、LockBit ランサムウェア・グループの関連者を標的にする
Ivan Gennadievich Kondratiev, a Russian national located in Novomokovsk, Russia, is a LockBit affiliate and leader of the LockBit affiliate sub-group, the National Hazard Society. Kondratiev is commonly known in the cybercriminal world as “Bassterlord” and “Fisheye,” and he also has ties to REvil, RansomEXX and Avaddon ransomware groups. Kondratiev has actively engaged in LockBit ransomware attacks.	ロシアのノボモコフスクに住むロシア人のIvan Gennadievich KondratievはLockBit の関連者であり、LockBit 関連者のサブグループであるNational Hazard Societyのリーダーである。Kondratyevはサイバー犯罪者の世界では一般的に「Bassterlord」や「Fisheye」として知られており、REvil、RansomEXX、Avaddonランサムウェアグループとも関係がある。KondratyevはLockBitランサムウェア攻撃に積極的に関与している。
Artur Sungatov, a Russian national, is a Lockbit ransomware group affiliate and has actively engaged in LockBit ransomware attacks.	ロシア国籍のArtur SungatovはLockbitランサムウェア・グループの関連者であり、LockBitランサムウェア攻撃に積極的に関与している。
OFAC is designating each of these individuals pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly, an activity described in subsection (a)(ii)(D) of section 1 of E.O. 13694, as amended.	OFACは、大統領令（E.O.）13694（E.O.13757により改正）に従い、E.O.13694の第1節(a)(ii)(D)に記載された活動に直接的または間接的に責任または加担している、または関与しているとして、これら各個人を指定する。
SANCTIONS IMPLICATIONS	制裁への影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons. In addition, persons that engage in certain transactions with the individuals designated today may themselves be exposed to designation.	本日の措置の結果、米国内にある、または米国人の所有もしくは管理下にある、上記の指定された人物のすべての財産および財産の権利は封鎖され、OFACに報告しなければならない。さらに、直接的または間接的に、個人または総計で50％以上を1人以上の阻止対象者が所有している事業体も阻止される。OFACが発行した一般又は特定のライセンスにより認可されるか、又は免除されない限り、OFACの規制は、一般的に、指定又はその他の方法でブロックされた者の財産又は財産権に関わる、米国人による又は米国内（又は米国を通過する）における全ての取引を禁止している。加えて、今日指定されている個人と特定の取引を行う者は、自らも指定にさらされる可能性がある。
The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here.	OFACの制裁の威力と完全性は、特別指定国民およびブロック対象者（SDN）リストに人物を指定し、追加する能力だけでなく、法律に従ってSDNリストから人物を削除する意思からも導き出される。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
See OFAC’s Updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry.	潜在的な制裁リスクを伴うランサムウェアの支払いに関連する関連執行措置において、OFACが軽減要因とみなす措置に関する情報については、OFACの「ランサムウェアの支払の促進に関する潜在的制裁リスクに関する最新勧告」を参照のこと。仮想通貨に適用される制裁の遵守に関する情報については、OFACの仮想通貨業界向け制裁遵守ガイダンス（Sanctions Compliance Guidance for the Virtual Currency Industry）を参照のこと。

 

 

 

 

---

 

英国

 

● National Crime Agency; NCA

・2024.02.20 International investigation disrupts the world’s most harmful cyber crime group

International investigation disrupts the world’s most harmful cyber crime group	国際捜査により、世界で最も有害なサイバー犯罪グループが壊滅する
The National Crime Agency is today, Tuesday 20 February, revealing details of an international disruption campaign targeting LockBit, the world’s most harmful cyber crime group.	国家犯罪対策庁は本日2月20日（火）、世界で最も有害なサイバー犯罪グループであるLockBit を標的とした国際的混乱キャンペーンの詳細を明らかにした。
Today, after infiltrating the group’s network, the NCA has taken control of LockBit’s services, compromising their entire criminal enterprise.	本日、同グループのネットワークに侵入したNCAは、LockBit のサービスをコントロールし、犯罪エンタープライズ全体を危険にさらした。
LockBit have been in operation for four years and during that time, attacks utilising their ransomware were prolific. LockBit ransomware attacks targeted thousands of victims around the world, including in the UK, and caused losses of billions of pounds, dollars and euros, both in ransom payments and in the costs of recovery. The group provided ransomware-as-a-service to a global network of hackers or ‘affiliates’, supplying them with the tools and infrastructure required to carry out attacks.	LockBit は4年前から活動しており、その間、彼らのランサムウェアを利用した攻撃は多発していた。LockBit のランサムウェア攻撃は、英国を含む世界中の数千人の被害者を標的とし、身代金の支払いと復旧費用の両方で数十億ポンド、ドル、ユーロの損失をもたらした。このグループは、ハッカーや「関連者」のグローバルネットワークにランサムウェア・アズ・ア・サービスをプロバイダとして提供し、攻撃実行に必要なツールやインフラを提供していた。
When a victim’s network was infected by LockBit’s malicious software, their data was stolen and their systems encrypted. A ransom would be demanded in cryptocurrency for the victim to decrypt their files and prevent their data from being published.	被害者のネットワークがLockBit の悪意あるソフトウェアに感染すると、データが盗まれ、システムが暗号化される。被害者がファイルを復号化し、データが公開されないようにするために、暗号通貨で身代金が要求される。
The NCA has taken control of LockBit’s primary administration environment, which enabled affiliates to build and carry out attacks, and the group’s public-facing leak site on the dark web, on which they previously hosted, and threatened to publish, data stolen from victims. Instead, this site will now host a series of information exposing LockBit’s capability and operations, which the NCA will be posting daily throughout the week.	NCAは、LockBitの主要な管理環境を掌握した。この環境は、関連者が攻撃を構築し実行することを可能にし、ダークウェブ上の同グループの一般向けリークサイトも掌握した。代わりに、このサイトではLockBitの能力と作戦を暴露する一連の情報をホストすることになり、NCAは今週中毎日これを掲載する予定である。
The Agency has also obtained the LockBit platform’s source code and a vast amount of intelligence from their systems about their activities and those who have worked with them and used their services to harm organisations throughout the world.	NCAはまた、LockBit・プラットフォームのソースコードと、彼らのシステムから、彼らの活動や、彼らと協力し、世界中の組織に危害を加えるために彼らのサービスを利用した人々に関する膨大な量のインテリジェンスを入手した。
Some of the data on LockBit’s systems belonged to victims who had paid a ransom to the threat actors, evidencing that even when a ransom is paid, it does not guarantee that data will be deleted, despite what the criminals have promised.	LockBitのシステム上のデータの一部は、脅威行為者に身代金を支払った被害者のものであり、身代金を支払ったとしても、犯罪者が約束したにもかかわらず、データが削除される保証はないことを証明している。
The NCA, working closely with the FBI, and supported by international partners from nine other countries, have been covertly investigating LockBit as part of a dedicated taskforce called Operation Cronos.	NCAはFBIと緊密に協力し、他の9カ国の国際的なパートナーの支援を受けて、「オペレーション・クロノス」と呼ばれる専門タスクフォースの一部として、LockBitを秘密裏に調査してきた。
LockBit had a bespoke data exfiltration tool, known as Stealbit, which was used by affiliates to steal victim data. Over the last 12 hours this infrastructure, based in three countries, has been seized by members of the Op Cronos taskforce, and 28 servers belonging to LockBit affiliates have also been taken down.	LockBitは、Stealbitとして知られる特注のデータ流出ツールを持ち、関連者が被害者データを盗むために使用していた。この12時間で、3カ国を拠点とするこのインフラがOp Cronosタスクフォースのメンバーによって押収され、LockBit関連者に属する28のサーバーもダウンさせられた。
The technical infiltration and disruption is only the beginning of a series of actions against LockBit and their affiliates. In wider action coordinated by Europol, two LockBit actors have been arrested this morning in Poland and Ukraine, over 200 cryptocurrency accounts linked to the group have been frozen.	技術的な侵入と混乱は、LockBitとその関連者に対する一連の行動の始まりに過ぎない。欧州刑事警察機構によって調整された広範な行動では、今朝、ポーランドとウクライナで2人のLockBit関係者が逮捕され、グループに関連する200以上の暗号通貨口座が凍結された。
The US Department of Justice has announced that two defendants responsible for using LockBit to carry out ransomware attacks have been criminally charged, are in custody, and will face trial in the US.	米国司法省は、LockBitを使ってランサムウェア攻撃を行った2人の被告が刑事告発され、身柄を拘束され、米国で裁判を受けると発表した。
The US has also unsealed indictments against two further individuals, who are Russian nationals, for conspiring to commit LockBit attacks.	米国はまた、LockBit攻撃を共謀したとして、ロシア国籍のさらなる2人の個人に対する起訴状も公開した。
As a result of our work, the NCA and international partners are in a position to assist LockBit victims. The Agency has obtained over 1,000 decryption keys and will be contacting UK-based victims in the coming days and weeks to offer support and help them recover encrypted data.	我々の活動の結果、NCAと国際パートナーはLockBit被害者を支援できる立場にある。同庁は1000以上の復号鍵を入手し、今後数日から数週間のうちに英国在住の被害者に連絡を取り、支援を提供し、暗号化されたデータの復旧を支援する予定である。
FBI and Europol will be supporting victims elsewhere.	FBIと欧州刑事警察機構は、他の地域の被害者を支援する予定である。
National Crime Agency Director General, Graeme Biggar said: “This NCA-led investigation is a ground-breaking disruption of the world’s most harmful cyber crime group. It shows that no criminal operation, wherever they are, and no matter how advanced, is beyond the reach of the Agency and our partners.	国家犯罪対策庁長官のグレーム・ビガー氏は次のように述べた： 「このNCA主導の捜査は、世界で最も有害なサイバー犯罪グループの画期的な崩壊である。犯罪組織がどこにあろうとも、またどれほど高度であろうとも、当庁とパートナーの手の届かないところにある犯罪組織は存在しないということを示している。
“Through our close collaboration, we have hacked the hackers; taken control of their infrastructure, seized their source code, and obtained keys that will help victims decrypt their systems.	「我々の緊密な協力により、我々はハッカーをハッキングし、彼らのインフラを制御し、ソースコードを押収し、被害者がシステムを復号化するのに役立つキーを入手した。
“As of today, LockBit are locked out. We have damaged the capability and most notably, the credibility of a group that depended on secrecy and anonymity.	「今日現在、LockBitはロックアウトされている。我々は、秘密主義と匿名性に依存していたグループの能力と、とりわけ信頼性にダメージを与えた。
“Our work does not stop here. LockBit may seek to rebuild their criminal enterprise. However, we know who they are, and how they operate. We are tenacious and we will not stop in our efforts to target this group and anyone associated with them.”	「われわれの仕事はここで終わらない。LockBitは犯罪エンタープライズの再建を目指すかもしれない。しかし、我々は彼らが誰であり、どのように活動しているかを知っている。我々は粘り強く、このグループと彼らに関係する人物を標的にする努力を止めない。
Home Secretary James Cleverly said: “The National Crime Agency’s world leading expertise has delivered a major blow to the people behind the most prolific ransomware strain in the world.	ジェームズ・クレバリー内務大臣は言った： 「国家犯罪捜査局の世界をリードする専門知識は、世界で最も多発するランサムウェアの背後にいる人々に大きな打撃を与えた。
“The criminals running LockBit are sophisticated and highly organised, but they have not been able to escape the arm of UK law enforcement and our international partners.	「LockBitを実行している犯罪者は洗練され、高度に組織化されているが、英国の法執行機関や我々の国際的なパートナーの手から逃れることはできなかった。
“The UK has severely disrupted their sinister ambitions and we will continue going after criminal groups who target our businesses and institutions.”	「英国は彼らの邪悪な野望を大きく妨害しており、我々は今後も我々の企業や機構を標的にする犯罪グループを追及していく。
U.S. Attorney General Merrick B. Garland said: “For years, LockBit associates have deployed these kinds of attacks again and again across the United States and around the world. Today, U.S and U.K. law enforcement are taking away the keys to their criminal operation.	メリック・B・ガーランド米司法長官は次のように述べた： 「何年もの間、LockBitの仲間は、米国や世界中でこの種の攻撃を繰り返し展開してきた。今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。
“And we are going a step further - we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data. LockBit is not the first ransomware variant the U.S. Justice Department and its international partners have dismantled. It will not be the last.”	「私たちはさらに一歩進んで、押収したLockBitのインフラから鍵を入手し、被害者が押収したシステムを復号化してデータへのアクセスを取り戻すのを支援している。LockBitは、米国司法省とその国際的パートナーが解体した最初のランサムウェアの亜種ではない。最後でもないだろう」。
FBI Director Christopher A. Wray said: "Today, the FBI and our partners have successfully disrupted the LockBit criminal ecosystem, which represents one of the most prolific ransomware variants across the globe.	FBIのクリストファー・A・レイ長官はこう述べた： 「今日、FBIと我々のパートナーは、世界中で最も多発しているランサムウェアの亜種の1つであるLockBitの犯罪エコシステムを破壊することに成功した。
"Through years of innovative investigative work, the FBI and our partners have significantly degraded the capabilities of those hackers responsible for launching crippling ransomware attacks against critical infrastructure and other public and private organizations around the world. This operation demonstrates both our capability and commitment to defend our nation's cybersecurity and national security from any malicious actor who seeks to impact our way of life. We will continue to work with our domestic and international allies to identify, disrupt, and deter cyber threats, and to hold the perpetrators accountable."	「長年の革新的な捜査活動を通じて、FBIと我々のパートナーは、世界中の重要インフラやその他の公的・私的組織に対して破壊的なランサムウェア攻撃を仕掛けているハッカーの能力を大幅に低下させた。この作戦は、我々の生活様式に影響を与えようとする悪意ある行為者から、我が国のサイバーセキュリティと国家安全保障を守る我々の能力とコミットメントを示すものである。我々は、サイバー脅威を特定し、混乱させ、抑止し、加害者の責任を追及するために、国内外の同盟国と引き続き協力していく。
The NCA leads the UK law enforcement response to tackling cyber crime, disrupting offenders where possible by enabling criminal justice outcomes, and also through a broad range of other means including online disruption, sanctions, travel bans, and working with partners like NCSC to ensure technology is secure and safe by design.	NCAは、サイバー犯罪に取り組む英国の法執行機関の対応を主導し、刑事司法上の結果を可能にすることで可能な限り犯罪者を混乱させるほか、オンライン妨害、制裁措置、渡航禁止、NCSCのようなパートナーとの協力による技術の安全性と設計による安全性の確保など、幅広い手段を通じている。
The NCA’s National Cyber Crime Unit also works with a network of Regional Cyber Crime Units based in the nine Regional Organised Crime Units (ROCU) of England and Wales. This operation developed from work by the South West ROCU, and continues to be supported by personnel there.	NCAの全国サイバー犯罪対策ユニットは、イングランドとウェールズの9つの地域組織犯罪対策ユニット（ROCU）を拠点とする地域サイバー犯罪対策ユニットのネットワークとも連携している。 この活動は、南西部ROCUの活動から発展したもので、現在も同組織の職員が支援している。
Public engagement is key to this response so it is vital that organisations report if they are the victim of a ransomware attack. The earlier people report, the quicker the NCA and partners are able to assess new methodologies and limit the damage they can do to others.	ランサムウェア攻撃の被害にあった場合、各組織が報告することが重要である。報告が早ければ早いほど、NCAとパートナーは新しい手法を迅速に評価し、他者に与える被害を抑えることができる。
If you are in the UK, you should use the Government’s Cyber Incident Signposting Site as soon as possible for direction on which agencies to report your incident to.	英国内にいる場合は、政府のサイバーインシデント・シグナリングサイトをできるだけ早く利用し、どの機関にインシデントを報告すべきか指示を仰ぐべきである。

 

 

● National Cyber Security Centre; NCSC

・2024.02.20 NCSC statement on law enforcement's disruption of LockBit ransomware operation

NCSC statement on law enforcement's disruption of LockBit ransomware operation	法執行機関によるLockBitランサムウェア作戦の妨害に関するNCSCの声明
The National Crime Agency (NCA) has announced that it is conducting a months-long campaign with international partners to disrupt the threat posed by the LockBit ransomware operation.	国家犯罪対策庁（NCA）は、ランサムウェア「LockBit」による脅威を阻止するため、国際的なパートナーとともに数カ月にわたるキャンペーンを実施していることを発表した。
Today, law enforcement has taken control of technical infrastructure which underpins the LockBit operation, including its primary platform and leak site where data stolen from victims in ransomware attacks have previously been hosted.	本日、法執行機関は、主要プラットフォームや、ランサムウェア攻撃で被害者から盗まれたデータがホストされていたリークサイトなど、LockBit作戦を支える技術インフラを掌握した。
The seizure of the criminal infrastructure aims to reduce the threat to the UK, while data obtained through the campaign will help law enforcement progress their investigations.	犯罪基盤の押収は英国への脅威を減らすことを目的としており、キャンペーンを通じて得られたデータは法執行機関の捜査の進展に役立つだろう。
Ransomware remains the most significant cyber threat facing UK organisations and they are strongly encouraged to take action to help protect themselves online.	ランサムウェアは依然として英国の組織が直面する最も重要なサイバー脅威であり、オンライン上で自らを守るための行動を取ることが強く奨励されている。
The NCSC has published a range of advice and guidance to help organisations understand, mitigate and respond to ransomware attacks.	NCSCは、組織がランサムウェア攻撃を理解し、軽減し、対応するための様々なアドバイスやガイダンスを発表している。
Jonathon Ellison, NCSC Director for National Resilience and Future Technology, said:	NCSCのナショナル・レジリエンス＆フューチャー・テクノロジー担当ディレクターであるジョナソン・エリソン氏は、次のように述べている：
“We welcome the disruptive action taken by the NCA and its partners against the LockBit ransomware operation, undermining cyber criminals’ ability to inflict harm in the UK and around the world.	「我々は、NCAとそのパートナーがLockBitランサムウェアの作戦に対して破壊的な行動をとり、英国および世界中で被害を与えるサイバー犯罪者の能力を弱体化させたことを歓迎する。
“Ransomware is an acute and present danger to UK businesses and the damage that attacks cause can have a significant toll on finances, operations and reputations.	「ランサムウェアは英国企業にとって現在進行形の危険であり、攻撃が引き起こす被害は財務、業務、評判に大きな打撃を与えかねない。
“We urge all organisations to follow the guidance on the NCSC website to help reduce their risk of falling victim and to ensure they are well-prepared to respond effectively if the worst happens.”	「NCSCのウェブサイトに掲載されているガイダンスに従うことで、被害に遭うリスクを軽減し、最悪の事態が発生した場合に効果的に対応できるよう、すべての組織が万全の態勢を整えることを強く求める"
Last year, the NCSC warned that LockBit presented the highest ransomware threat to businesses in the UK and that it was almost certainly the most deployed ransomware strain globally.	昨年、NCSCは、LockBitは英国内の企業にとって最も脅威の大きいランサムウェアであり、世界的にも最も多く展開されているランサムウェアであることはほぼ間違いないと警告した。
In September, the NCSC and NCA also published a joint report outlining how the tactics of organised crime groups have evolved in recent years, giving rise to a complex cyber criminal ecosystem which underpins ransomware attacks.	また9月には、NCSCとNCAは、組織犯罪グループの手口が近年どのように進化し、ランサムウェア攻撃を支える複雑なサイバー犯罪エコシステムを生み出したかを概説する共同報告書を発表した。
In the event of a cyber incident, organisations are encouraged to report via [web] .	サイバーインシデントが発生した場合、組織は[web] 。

 

 

---

 

欧州

● Europol

・2024.02.20 Law enforcement disrupt world’s biggest ransomware operation

 

Law enforcement disrupt world’s biggest ransomware operation	法執行機関が世界最大のランサムウェア作戦を妨害する
LockBit was the most deployed ransomware variant across the world	LockBitは世界中で最も配備されたランサムウェアの亜種だった
In a significant breakthrough in the fight against cybercrime, law enforcement from 10 countries have disrupted the criminal operation of the LockBit ransomware group at every level, severely damaging their capability and credibility.	サイバー犯罪との闘いにおける重要なブレークスルーとして、10カ国の法執行機関はLockBitランサムウェアグループの犯罪活動をあらゆるレベルで妨害し、彼らの能力と信頼性に深刻なダメージを与えた。
LockBit is widely recognised as the world’s most prolific and harmful ransomware, causing billions of euros worth of damage.	LockBitは世界で最も多発し、数十億ユーロ相当の被害をもたらしている有害なランサムウェアとして広く認識されている。
This international sweep follows a complex investigation led by the UK's National Crime Agency in the framework of an international taskforce known as ‘Operation Cronos’, coordinated at European level by Europol and Eurojust.	この国際的な掃討作戦は、欧州刑事警察機構と欧州司法機構によって欧州レベルで調整された「クロノス作戦」として知られる国際的なタスクフォースの枠組みの中で、英国国家犯罪局が主導した複雑な捜査に続くものである。
The months-long operation has resulted in the compromise of LockBit’s primary platform and other critical infrastructure that enabled their criminal enterprise. This includes the takedown of 34 servers in the Netherlands, Germany, Finland, France, Switzerland, Australia, the United States and the United Kingdom.	数ヶ月にわたる捜査の結果、LockBitの主要プラットフォームと、彼らの犯罪エンタープライズを可能にしたその他の重要なインフラが侵害された。これには、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、米国、英国にある34のサーバーの撤去が含まれる。
In addition, two LockBit actors have been arrested in Poland and Ukraine at the request of the French judicial authorities. Three international arrest warrants and five indictments have also been issued by the French and U.S. judicial authorities.	さらに、フランスの司法当局の要請により、LockBitの関係者2名がポーランドとウクライナで逮捕された。また、フランスと米国の司法当局により、3件の国際逮捕状と5件の起訴状が発行された。
Authorities have frozen more than 200 cryptocurrency accounts linked to the criminal organisation, underscoring the commitment to disrupt the economic incentives driving ransomware attacks.	認可当局は、犯罪組織に関連する200以上の暗号通貨口座を凍結しており、ランサムウェア攻撃の原動力となっている経済的インセンティブを崩壊させるというコミットメントを強調している。
The UK's National Crime Agency has now taken control of the technical infrastructure that allows all elements of the LockBit service to operate, as well as their leak site on the dark web, on which they previously hosted the data stolen from victims in ransomware attacks.	英国の国家犯罪捜査局は現在、LockBit・サービスの全要素を稼働させる技術インフラと、以前ランサムウェア攻撃で被害者から盗んだデータをホスティングしていたダークウェブ上のリークサイトを管理下に置いている。
At present, a vast amount of data gathered throughout the investigation is now in the possession of law enforcement. This data will be used to support ongoing international operational activities focused on targeting the leaders of this group, as well as developers, affiliates, infrastructure and criminal assets linked to these criminal activities.	現在、捜査を通じて集められた膨大なデータが法執行機関の手元にある。このデータは、このグループのリーダーや、これらの犯罪活動に関連する開発者、関連者、インフラ、犯罪資産を標的とすることに焦点を当てた、進行中の国際的な作戦活動を支援するために使用される。
The world’s most harmful ransomware	世界で最も有害なランサムウェア
LockBit first emerged at the end of 2019, first calling itself ‘ABCD’ ransomware. Since then, it has grown rapidly and in 2022 it became the most deployed ransomware variant across the world.	LockBitは2019年末に初めて出現し、最初は「ABCD」ランサムウェアと名乗った。それ以来、急速に成長し、2022年には世界中で最も配備されているランサムウェアの亜種となった。
The group is a ‘ransomware-as-a-service’ operation, meaning that a core team creates its malware and runs its website, while licensing out its code to affiliates who launch attacks.	このグループは「ransomware-as-a-service（ランサムウェア・アズ・ア・サービス）」オペレーションであり、コアチームがマルウェアを作成し、ウェブサイトを運営する一方で、攻撃を仕掛けるアフィリエイトにコードをライセンス供与している。
LockBit’s attack presence is seen globally, with hundreds of affiliates recruited to conduct ransomware operations using LockBit tools and infrastructure. Ransom payments were divided between the LockBit core team and the affiliates, who received on average three-quarters of the ransom payments collected.	LockBitの攻撃は世界規模で展開されており、LockBitのツールやインフラを使用してランサムウェアを実行するために何百もの関連者がリクルートされている。身代金の支払いは、LockBitのコアチームとアフィリエイトの間で分配され、アフィリエイトは集めた身代金の平均4分の3を受け取っていた。
The ransomware group is also infamous for experimenting with new methods for pressuring their victims into paying ransoms. Triple extortion is one such method which includes the traditional methods of encrypting the victim's data and threatening to leak it, but also incorporates Distributed Denial-of-Service (DDoS) attacks as an additional layer of pressure.	このランサムウェア・グループは、被害者に身代金の支払いを迫る新しい方法を試していることでも有名だ。トリプル恐喝は、被害者のデータを暗号化し、それを漏らすと脅すという従来の手法に加え、さらなる圧力として分散型サービス拒否（DDoS）攻撃を取り入れたものだ。
The gang's move to triple extortion was partly influenced by a DDoS attack they themselves experienced, which impeded their ability to publish stolen data. In response, LockBit enhanced their infrastructure to resist such attacks.	このギャング団が3重の恐喝に移行したのは、彼ら自身が経験したDDoS攻撃の影響もあり、盗まれたデータを公開する能力が阻害されたからだ。これを受けて、LockBitはこのような攻撃に対抗できるようインフラを強化した。
This infrastructure is now under law enforcement control, and more than 14 000 rogue accounts responsible for exfiltration or infrastructure have been identified and referred for removal by law enforcement.	このインフラストラクチャーは現在、法執行機関の管理下にあり、流出やインフラストラクチャーに責任のある14,000以上の不正アカウントが特定され、法執行機関による削除のために照会されている。
Europol’s coordinating role	欧州刑事警察機構の調整役
With countries involved on either side of the world, Europol – which hosts the world’s biggest network of liaison officers from EU Member States – played a central role in coordinating the international activity.	欧州刑事警察機構は、EU加盟国からの連絡担当官で構成される世界最大のネットワークを擁しており、この国際的な活動を調整する上で中心的な役割を果たした。
Europol’s European Cybercrime Centre (EC3) organised 27 operational meetings, and four technical one-week sprints to develop the investigative leads in preparation of the final phase of the investigation.	欧州刑事警察機構の欧州サイバー犯罪センター（EC3）は、捜査の最終段階に備えて、27の作戦会議と、捜査の手がかりを得るための4回の技術的な1週間スプリントを組織した。
Europol also provided analytical, crypto-tracing and forensic support to the investigation, and facilitated the information exchange in the framework of the Joint Cybercrime Action Taskforce (J-CAT) hosted at its headquarters. In addition, three Europol experts were deployed to the command post in London during the action phase.	欧州刑事警察機構はまた、分析、暗号トレース、フォレンジックなどの捜査支援も提供し、欧州刑事警察機構本部が主催する合同サイバー犯罪対策タスクフォース（J-CAT）の枠組みで情報交換を促進した。さらに、欧州刑事警察機構（Europol）の専門家3名が、活動期間中、ロンドンの司令部に派遣された。
In total, over 1 000 operational messages have been exchanged on this case via Europol’s secure information channel SIENA, making it one of EC3’s most active investigations.	欧州刑事警察機構（Europol）の安全な情報チャンネル「SIENA」を通じて、この事件に関して合計1,000件以上の作戦メッセージが交換され、EC3で最も活発な捜査のひとつとなった。
The case was opened at Eurojust in April 2022 at the request of the French authorities. Five coordination meetings were hosted by the Agency to facilitate judicial cooperation and to prepare for the joint action.	この事件は2022年4月、フランス当局の要請により欧州司法機構（Eurojust）で捜査が開始された。司法協力を促進し、共同捜査の準備を進めるため、5回の調整会議がユーロジャストによって開催された。
Decryption tools available on No More Ransom	No More Ransom で利用可能な復号ツール
With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise to develop decryption tools designed to recover files encrypted by the LockBit Ransomware.	欧州刑事警察機構の支援のもと、日本の警察、国家犯罪対策庁、連邦捜査局は、LockBit ランサムウェアによって暗号化されたファイルを復元するために設計された復号化ツールを開発するために、それぞれの技術的専門知識を集中させた。
These solutions have been made available for free on the ‘No More Ransom’ portal, available in 37 languages. So far, more than 6 million victims across the globe have benefitted from No More Ransom which contains over 120 solutions capable of decrypting more than 150 different types of ransomware.	これらのソリューションは、「No More Ransom」ポータルサイトで37カ国語で無料公開されている。No More Ransomには、150種類以上のランサムウェアを解読できる120以上のソリューションが含まれている。
Report it to the police	警察に報告する
This investigation shows that law enforcement has the capabilities to disrupt high harm cybercriminals and reduce the ransomware threat. However, continued victim and private sector engagement is key to us continuing this work.	今回の捜査は、法執行機関には、被害が大きいサイバー犯罪者を混乱させ、ランサムウェアの脅威を減らす能力があることを示している。しかし、被害者と民間セクターの継続的な関与が、この活動を継続するための鍵となる。
The first step to putting cybercriminals behind bars is to report cybercrime when it happens. The earlier people report, the quicker law enforcement is able to assess new methodologies and limit the damage they can cause.	サイバー犯罪者を刑務所に入れるための第一歩は、サイバー犯罪が発生したときに報告することである。通報が早ければ早いほど、法執行機関は新しい手口を迅速に評価し、被害を抑えることができる。
Reporting cybercrime can be as simple as clicking a button on a web browser. Europol has compiled a list of the reporting websites in EU Member States.	サイバー犯罪の報告は、ウェブ・ブラウザのボタンをクリックするのと同じくらい簡単にできる。欧州刑事警察機構は、EU加盟国の報告用ウェブサイトのリストをまとめている。
Robust cybersecurity measures are also key. Europol has put together some tips and advice on how to prevent ransomware from infecting your electronic devices.	強固なサイバーセキュリティ対策も重要である。欧州刑事警察機構は、ランサムウェアによる電子機器への感染を防ぐためのヒントとアドバイスをまとめた。
Taskforce Operation Cronos	タスクフォース「クロノス作戦」
This activity forms part of an ongoing, concerted campaign by the international Operation Cronos taskforce to target and disrupt LockBit ransomware. The following authorities are part of this taskforce:	この活動は、LockBitランサムウェアを標的とし、破壊するための国際的なタスクフォース「Operation Cronos」による進行中の協調キャンペーンの一環である。以下の認可機関がこのタスクフォースに参加している：
・France: National Gendarmerie (Gendarmerie Nationale – Unité nationale cyber C3N)	・フランス 国家憲兵隊（Gendarmerie Nationale - Unité nationale cyber C3N）
・Germany: State Bureau of Criminal Investigation Schleswig-Holstein(LKA Schleswig-Holstein), Federal Criminal Police Office (Bundeskriminalamt)	・ドイツ シュレースヴィヒ・ホルシュタイン州捜査局（LKA Schleswig-Holstein）、連邦刑事警察（Bundeskriminalamt）
・The Netherlands: National Police (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) & Public Prosecutor’s Office Zeeland-West-Brabant	・オランダ 国家警察（ゼーラント＝ウェスト＝ブラバント州サイバー犯罪チーム、ウースト＝ブラバント州サイバー犯罪チーム、ハイテク犯罪チーム）、ゼーラント＝ウェスト＝ブラバント州検察庁
・Sweden: Swedish Police Authority	・スウェーデン スウェーデン警察認可
・Australia: Australian Federal Police (AFP)	・オーストラリア オーストラリア連邦警察（AFP）
・Canada: Royal Canadian Mounted Police (RCMP)	・カナダ カナダ王立騎馬警察（RCMP）
・Japan: National Police Agency (警察庁)	・日本 警察庁
・United Kingdom: National Crime Agency (NCA), South West Regional Organised Crime Unit (South West ROCU)	・イギリス 国家犯罪対策庁（NCA）南西部地域組織犯罪対策ユニット（South West ROCU）
・United States: U.S. Department of Justice (DOJ), Federal Bureau of Investigation (FBI) Newark	・米国 米国司法省（DOJ）、連邦捜査局（FBI）ニューアーク
・Switzerland: Swiss Federal Office of Police (fedpol), Public Prosecutor's Office of the canton of Zurich, Zurich Cantonal Police	・スイス スイス連邦警察庁（fedpol）、チューリッヒ州検察庁、チューリッヒ州警察
The successful action was made possible thanks to the support of the following countries:	この活動の成功は、以下の国々の支援のおかげである：
・Finland: National Police (Poliisi)	・フィンランド フィンランド：国家警察（Poliisi）
・Poland: Central Cybercrime Bureau Cracow (Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie)	・ポーランド クラクフ中央サイバー犯罪局（Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie）
・New Zealand: New Zealand Police (Nga Pirihimana O Aotearoa)	・ニュージーランド ニュージーランド警察（Nga Pirihimana O Aotearoa）
・Ukraine: Prosecutor General`s office of Ukraine (Офіс Генерального прокурора України), Cybersecurity Department of the Security Service of Ukraine (Служба безпеки України), National Police of Ukraine (Національна поліція України)	・ウクライナ ウクライナ検察総局（Офіс Генерального прокурора України）、 ウクライナ治安局サイバーセキュリティ部（Служба безпеки України）、ウクライナ国家警察（Національна поліція України）

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.21 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価（IOCTA）2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識