企業から盗んだデータを公開するサイトが謎のDDoS攻撃を受け閉鎖、攻撃者からは「データを消せクソッタレ」というメッセージも

企業から盗んだ情報を公開するサイト「LockBit」が何者かによる分散型サービス妨害攻撃(DDoS攻撃)を受け、サイトを閉鎖しました。攻撃の直前、LockBitはセキュリティ大手「Entrust」のデータをリークすると脅迫しており、このことが攻撃の引き金になったのではと考えられています。

LockBit ransomware blames Entrust for DDoS attacks on leak sites
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-blames-entrust-for-ddos-attacks-on-leak-sites/

LockBit DDoS attack: ransomware gang targeted after Entrust leak
https://techmonitor.ai/technology/cybersecurity/lockbit-ddos-ransomware-entrust

LockBit gang hit by DDoS attack after Entrust leaks • The Register
https://www.theregister.com/2022/08/22/entrust_lockbit_ddos_ransomware/

ロシアに拠点を置くと考えられているLockBitは、2019年に最初に確認されて以来ランサムウェアの発信・改良を続けて「サービスとしてのランサムウェア(RaaS)」を展開しており、2022年には「LockBit 3.0」を作成して企業への攻撃を加速させています。

デジタルセキュリティ企業のDigital Shadowsによると、LockBitは2022年に最も活発だったランサムウェアグループの1つであり、第2四半期にリークされた企業データのおよそ33％に関与していたと見られているとのこと。

直近の被害者としては、フランスの通信事業者であるLa Poste Mobileや、iPhoneの製造も委託された電子機器メーカーのFoxconnなどが挙げられます。さらにLockBitは2022年6月に発生したセキュリティ企業のEntrustへの攻撃に関与したことを明らかにしており、盗んだデータをすべて公開すると脅しをかけ、8月18日ごろから徐々にデータをリークし始めていました。

しかし、このリーク開始から1日もたたないうちにLockBitに対するDDoS攻撃が発生し、LockBitはサイトの閉鎖を余儀なくされました。

このDDoS攻撃が誰の手によるものなのかは明らかになっていませんが、後日セキュリティ研究グループのVX-Undergroundは、LockBitの代表者から「攻撃はEntrustによるものだ」との連絡を受けたと報告しました。攻撃者がEntrustだとする根拠はDDoS攻撃のトラフィックを示す以下の画像で、ユーザーエージェントを示す文字列に「DELETE_ENTRUSTCOM_MOTHERFUCKERS」と記されているのが分かります。

LockBitによると、攻撃は活発に行われており、1000台を超えるサーバーから毎秒400件のリクエストを受け取っているそうです。LockBitは「より多くのデータと、攻撃者の資金をリークする事を約束する」と述べて反撃の意志をあらわにしています。

Entrustの顧客にはアメリカの国土安全保障省やその他政府機関、保険会社やMicrosoftなどのテクノロジー企業が含まれています。6月に攻撃を受けた時点では、Entrustは「侵害を受けた社内システムと製品・サービスは切り離されている」と述べつつも、法執行機関と協力して対応に当たるとしていました。今回の攻撃にEntrustが関与したかどうかは不明で、BleepingComputerなど各メディアがEntrustに声明を求めているものの、記事作成時点で返答は得られていないそうです。