London Drugs

本日、LockBitランサムウェア集団は、カナダの薬局チェーンLondon Drugsに対する4月のサイバー攻撃の背後にいると主張し、交渉が失敗したとされる後、盗まれたデータをオンラインで公開すると脅している。

London Drugsは、アルバータ州、サスカチュワン州、マニトバ州、ブリティッシュコロンビア州の80店舗以上で、9,000人以上の従業員がヘルスケアと薬局サービスを提供している。

4月28日のサイバー攻撃により、ロンドンドラッグはカナダ西部の全小売店の閉鎖を余儀なくされた。同社によると、顧客や従業員のデータが影響を受けた形跡はないという。

「万が一、調査の結果、個人情報が漏えいしたことが判明した場合は、適用される個人情報保護法に従い、影響を受けた人々および該当する個人情報保護委員会に通知します」と、薬局チェーンは当時述べている。

5月9日、ロンドンドラッグの社長兼最高執行責任者(COO)であるクリント・マールマンは、フォレンジック調査のために雇われた第三者のサイバーセキュリティ専門家が、「当社の健康データとLDExtrasデータを含む顧客データベース」が侵害されたという証拠を発見しなかったことを再度確認した。

その後、ロンドンドラッグは閉鎖した全店舗を再開したが、同社のウェブサイトはまだダウンしており、”サーバーが内部エラーに遭遇したため、このリクエストを実行できませんでした “というエラーが表示されている。

本日未明、LockBitランサムウェア作戦は、London Drugsをその恐喝ポータルに追加し、4月のサイバー攻撃を主張し、同社のシステムから盗まれたとされるデータを公開すると脅迫した。

LockBit claims London Drugs breach
LockBitの恐喝サイトに掲載されたLondon Drugs ()

このランサムウェア集団は、London Drugsのサーバーからファイルを盗んだという証拠をまだ提示しておらず、身代金2500万ドルを支払うというLondon Drugsとの交渉が失敗したとだけ主張している。

LockBitの主張を確認したわけではないが、London Drugsが共有した声明によると、同社はランサムウェア集団が “本社からファイルを盗み、その中には従業員情報が含まれている可能性がある “と述べたことを認識している。

London Drugsは、LockBitが要求した身代金は支払わないし、支払うこともできないと付け加えたが、ギャングが “盗まれたLondon Drugsの本社ファイル、その中には従業員情報が含まれている可能性があるものをダークウェブに流出させた可能性がある “ことは認めた。

“調査の現段階では、影響を受ける可能性のある従業員の個人情報の性質や範囲について、具体的に説明することはできません。現在調査中ですが、このサイバー事件によるシステム被害の大きさから、調査には時間がかかると思われます。

“慎重を期して、我々は積極的に全従業員に通知し、データの漏洩が最終的に判明したか否かに関わらず、24ヶ月間の信用監視と個人情報盗難防止サービスを無料で提供しました。”

LockBitランサムウェアの盛衰

このランサムウェア・アズ・ア・サービス(RaaS)作戦は、2019年9月にABCDとして登場し、その後LockBitとしてリブランディングされた。

その出現以来、LockBitは、ボーイングコンチネンタル自動車大手イタリア内国歳入庁、バンク・オブ・アメリカ英国ロイヤルメールなど、世界中の多くの政府機関や著名な組織に対する攻撃を主張してきた。

法執行機関は2024年2月、「Operation Cronos」として知られる行動でLockBitのインフラを破壊し、無料のLockBit 3.0 Black Ransomware decryptorの作成に役立った2,500以上の復号化キーを含む34のサーバーを押収しました。

押収されたデータに基づき、米国司法省と英国国家犯罪局は、2022年6月から2024年2月までの間に世界中の組織を標的とした7,000件の攻撃を受け、ロックビットが5億ドルから10億ドルを恐喝したと推定している。

LockBit domain seizure
ロックビットのドメイン押収

しかし、LockBitはまだ活動しており、新しいサーバーやダークウェブのドメインに移動している。世界中の被害者を標的にし続け、米国と英国当局による最近のインフラ奪取への報復として、大量の新旧データを公開している。

LockBitがLondon Drugsサイバー攻撃の背後にいると主張しているのは、別の国際的な法執行活動によって、このランサムウェア・ギャングのリーダーが「LockBitSupp」というオンライン偽名を使い、ドミトリー・ユリエヴィチ・ホロシェフという31歳のロシア国籍の人物であることがDoxされ、制裁を受けた後のことだ。

米国国務省は現在、ロックビットのリーダーの逮捕または有罪判決につながる情報に対して1,000万ドルの報奨金を、またロックビット・ランサムウェア関連者の逮捕につながる可能性のある情報に対してさらに500万ドルの報奨金を提供しています。

ロックビット・ランサムウェアの関係者のこれまでの告発および逮捕には、ミハイル・ヴァシリエフ(2022年11月)、ルスラン・マゴメドヴィッチ・アスタミロフ(2023年6月)、ワザワカことミハイル・パブロヴィッチ・マトヴェーエフ(2023年5月)、アルトゥール・スンガトフおよびバスターロードことイワン・ゲナディヴィッチ・コンドラチエフ(2024年2月)などがあります。