LockBit は 2019 年末に登場し、最初は「ABCD ランサムウェア」と呼ばれていました。 それ以来、それは急速に成長しました。 このグループは「サービスとしてのランサムウェア」の運用です。つまり、コア チームがマルウェアを作成し、Web サイトを実行しながら、攻撃を開始する「アフィリエイト」にコードをライセンス供与します。
通常、ランサムウェア アズ ア サービス グループが企業への攻撃に成功して報酬を得ると、その利益の一部を関連会社と共有します。 LockBit の場合、Malwarebytes の脅威インテリジェンス担当シニア ディレクターである Jérôme Segura 氏は、アフィリエイト モデルがひっくり返っていると述べています。 アフィリエイトは、被害者から直接支払いを受け取り、コアの LockBit チームに料金を支払います。 構造は一見うまく機能し、LockBit に対して信頼性があります。 「アフィリエイト モデルは非常によくできていました」と Segura 氏は言います。
研究者は過去 10 年間、あらゆる種類のサイバー犯罪者が業務の専門化と合理化を繰り返し見てきましたが、著名で多作なランサムウェア グループの多くは、派手で予測不可能な公の人物を採用して、悪評を獲得し、被害者を脅迫しています。 対照的に、LockBit は比較的一貫性があり、焦点が絞られ、組織化されていることで知られています。
ウイルス対策会社 Emsisoft の脅威アナリストである Brett Callow は、次のように述べています。 「しかし、彼らがサイトに多くの犠牲者を投稿しているという事実は、一部の人が主張するように、彼らが最も多作なランサムウェア グループであるとは必ずしも一致しません。 しかし、彼らはおそらくそのように説明されることに非常に満足しています. それは新しいアフィリエイトの募集にちょうどいいです。」
ただし、このグループは確かにすべてが誇大宣伝されているわけではありません。 LockBit は、利益を最大化するために、技術革新と物流革新の両方に投資しているようです。 たとえば、セキュリティ企業ソフォスのインシデント対応担当ディレクターであるピーター・マッケンジー氏は、このグループは被害者に身代金を支払うよう圧力をかける新しい方法を実験していると述べています。
「彼らはさまざまな支払い方法を持っています」と Mackenzie 氏は言います。 「お金を払ってデータを削除してもらったり、お金を払って早期に公開してもらったり、お金を払って期限を延長したりできます」と Mackenzie 氏は言い、LockBit の支払いオプションは誰にでも開かれていると付け加えました。 これにより、少なくとも理論的には、ライバル企業がランサムウェアの被害者のデータを購入する可能性があります。 「被害者の視点から見ると、それは彼らにとって余分なプレッシャーであり、それが人々にお金を払わせるのに役立っています」と Mackenzie は言います。
LockBit が登場して以来、その作成者はマルウェアの開発に多大な時間と労力を費やしてきました。 グループには 発行済み コードの 2 つの大きな更新 — 2021 年半ばにリリースされた LockBit 2.0 と、2022 年 6 月にリリースされた LockBit 3.0。2 つのバージョンは、それぞれ LockBit Red および LockBit Black としても知られています。 研究者によると、技術の進化は、LockBit がアフィリエイトと連携する方法の変化と並行して行われています。 LockBit Black のリリース前は、このグループは最大で 25 から 50 のアフィリエイトからなる排他的なグループと協力していました。 しかし、3.0 のリリース以降、ギャングは大幅に開放され、関連するアフィリエイトの数を監視することが難しくなり、LockBit が集団を制御することもより困難になりました。