Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

ロックビットが帰ってきたバージョン5.0の新機能

2025年9月12日
Lucie Cardiet
サイバー脅威リサーチマネージャー
ロックビットが帰ってきたバージョン5.0の新機能

LockBitは、2019年のデビュー以来、複数のバージョンを経て進化してきた多作なランサムウェア・アズ・ア・サービス(RaaS)作戦である。サーバーを押収し、復号化キーを流出させた大規模な法執行機関の摘発(2024年初頭のOperation Cronos)にもかかわらず、このグループはLockBit 5.0で再登場した。この最新バージョンはギャングの「カムバック」と位置づけられており、より高速な暗号化、より強力な回避、刷新されたアフィリエイト・プログラムを誇っています。このブログでは、LockBit 5.0の技術的特徴の包括的な内訳と、SOCチームがアフィリエイト主導のキャンペーンに対する防御を強化するための実用的な洞察を提供します。

ロックビット5.0のログインページ (出典:SOCRadar)

ロックビット進化の簡単なまとめ

LockBitは2019年にABCDランサムウェアという名前で初めて登場したが、これは暗号化されたファイルに追加された「.abcd」という拡張子への言及である。この初期バージョンは比較的基本的なもので、今日見られるような高度な手口はなく、純粋にローカルファイルの高速暗号化に焦点を当てていた。

2021、ロックビット2.0(レッド)は最初の大きな飛躍を遂げた。このバージョンでは、攻撃者が機密データを大規模に盗むことを可能にする専用データ流出ツール、StealBitが導入された。このバージョンでは、SMBとPsExecを介した自動伝播も追加され、アフィリエイトは企業ネットワーク全体に急速に拡散する能力を得た。同じ頃、グループはLinuxとVMware ESXiのターゲットに拡大し、大物狩りの開始を示しました。

2022年に登場したLockBit 3.0(Black)は、技術革新をさらに推し進めた。バグ報奨金プログラムを実施した最初のランサムウェア・グループであり、malware改良に協力するハッカーを公然と募った。また、攻撃を加速させるために断続的な暗号化を導入し、大きなファイルの塊だけを暗号化しながらも、それらを使用不能にしました。このバージョンは、LockBitを世界的に最も活発なランサムウェア・グループとして定着させ、その年に報告されたインシデントの40%以上を引き起こした。2022年後半に流出したビルダー・キットは、研究者や敵対する犯罪者たちに、LockBitがいかにカスタマイズ可能になったかという貴重な内部情報を提供した。

2024年後半までに、LockBitは法執行機関の圧力に応え、LockBit 4.0(Green)をリリースした。このリリースはほぼ全面的に書き直され、.NET Coreで開発され、モジュラーアーキテクチャとステルス性が強化された。プリンター・スパムのような騒々しい機能はなくなり、代わりにAPIアンフック、難読化、ステルス実行が採用された。暗号化のスピードは、数分で大規模なネットワークを麻痺させることができる、新たな高みに達した。アフィリエイトは、カスタマイズ可能なランサムノートやLinuxおよびESXi環境のサポートにより、より柔軟性を獲得した。

現在、LockBit 5.0で、グループは世界的なテイクダウンと内部リークの後、完全なカムバックを試みている。このバージョンでは、モジュール式のアプローチを継続し、最新のEDRに対するより強力な回避策を導入し、ネットワークを再構築するためのアフィリエイトのインセンティブを刷新しています。その結果、ランサムウェアの系統は、その前任者のどれよりも速く、より回復力があり、より適応できるように設計されています。

バージョン タイムフレーム 主な特徴と変更点
LockBit 1.0
"ABCD"		 2019年から2020年 基本的だが高速な暗号化ソフト。現段階では、データ盗難機能は限られている。初期のCまたはC++実装で、成熟したアフィリエイト・ツールはまだない。
ロックビット2.0
"レッド"		 2021 StealBitの導入による迅速な流出。SMB、PsExec、WMIを使用した発見と横移動の自動化の向上。大幅なスピードアップ仮想インフラにLinuxとVMware ESXiロッカーを追加。アフィリエイトのための収益分配とパネルアクセスによるRaaSプログラムを正式化。
ロックビット3.0
"ブラック"		 2022 断続的な暗号化を追加し、ファイルを使用不可能な状態に保ちながらインパクトを加速。AESとRSAのハイブリッド暗号を継続。malware 改善のための公開バグ報奨金を開始。アフィリエイトのためのポイント・アンド・クリック・ビルダーを熟成。二重、三重の恐喝手口が増加。後にビルダーが流出し、古いビルドの模倣やシグネチャカバレッジが可能に。
ロックビット4.0
"グリーン"		 2024年後半から2025年前半 .NET Coreコードベースとステルスファースト設計による大幅な作り直し。EDRをバイパスするために、複雑なAPIのハッシュ化とユーザーランドのフック解除を行いました。ノイズの多い自己伝播とプリンターの不正使用を削除し、検出を削減。より高速なマルチスレッド暗号化、アフィリエイトのためのカスタマイズ可能なランサムノート、回復力のための分散型Torインフラストラクチャ。データセンターへの影響を考慮し、LinuxとESXiの対象を拡大。
ロックビット5.0 2025年半ばから後半 アフィリエイトがキャンペーンごとにコンポーネントを切り替えられるよう、モジュラーアーキテクチャを採用。更なるスピードの最適化とアンチ分析の強化。交渉中の柔軟なコミュニケーション、Torポータルと必要なTox。ネットワーク再構築のためのアフィリエイト・インセンティブの刷新、新規アフィリエイトの流入。同業者グループとの協力のシグナル、カルテル的調整の可能性。ゴールは、より低い検出表面でインパクトまでの時間を短縮することである。
ロックビットRaaSの進化、2019年から2025年まで

LockBit 5.0の機能の実際:TTPと変更点

LockBit 5.0では、モジュール化、高速暗号化、より強力な回避機能が導入されていますが、実際に影響を与えるのは、侵入時にこれらの機能がどのように機能するかです。以下では、新機能を攻撃ライフサイクルの各ステージにマッピングすることで、SOC チームが検知と対応に重点を置くべき場所を正確に把握できるようにします。

初期アクセス

  • 新機能:アフィリエイト・プログラムの垣根が低くなった(自動登録、幅広い募集)ことで、キャンペーン間の侵入テクニックがより多様になった。
  • 観察された技術フィッシングRDP/VPN のブルートフォースとクレデンシャル・スタッフィング、Exchange や Fortinet のようなパッチ未適用のサービスの悪用。
  • SOCの焦点異常なログインアクティビティ、繰り返される認証の失敗、およびパッチが適用されていない一般向けインフラストラクチャを監視する。

実行と特権のエスカレーション

  • 新情報:ペイロードはPowerShellやLOLBinsを介してファイルレスで起動されることが多く、ビルドには有効期限が含まれていることがあるため、解析の妨げになります。
  • 観測された技術インメモリローダー、mshta.exeの実行、LSASSからのクレデンシャルダンプ、レジストリハイブの流出。
  • SOCの焦点:不審検知 スクリプト活動、特にPowerShellによる子プロセスの起動、通常のベースライン外のレジストリ・アクセス。

横の動き

  • 新機能:アフィリエイトは増殖モジュールを切り替えることができるため、LockBitは以前のwormバージョンよりも予測しにくく、ステルス性が高くなっている。
  • 観測されたテクニックPsExec、WMIジョブ、グループポリシーオブジェクト(GPO)の悪用によるランサムウェアのホストへの拡散。
  • SOCの焦点:新しいサービスの作成、異常なリモートWMIコマンド、または業務時間外の横方向のRDP接続をハントする。

防御回避

  • 新機能:拡張されたプロセス・キルリスト、高度なAPIアンフック、モジュラー・アーキテクチャに組み込まれた難読化。
  • 観察されたテクニックAV/バックアップエージェントの終了、シャドウコピー削除(vssadmin delete)、ログ消去、サンドボックス/VMチェック。
  • SOC の焦点大量のプロセス/サービス停止をレジストリ編集や管理コマンド実行と関連付ける。

衝撃と恐喝

  • 新機能:最適化された断続的な暗号化により、暗号化速度が速くなりました。ランサムノートには、Torポータルだけでなく、段階的な支払い期限とTox IDが含まれる場合があります。
  • Observed techniques: Large-scale file renaming with randomized extensions, {random}.README.txt ransom notes in directories, wallpaper changes, exfiltration via StealBit/Rclone.
  • SOCの焦点:検知 ファイルの一括リネーム、予期せぬ壁紙の変更、クラウドストレージや未知のサーバーへの異常な送信転送。

ロックビット5.0に対する予防だけでは不十分な理由

LockBit 5.0は、不快な真実を浮き彫りにしています。それは、十分に調整された防御コントロールでさえ、すべての攻撃を阻止することはできないということです。アフィリエイトは、脆弱なクレデンシャル、パッチが適用されていないシステム、あるいは、不正アクセスを悪用します。 フィッシング を悪用して侵入し、いったん侵入すると、合法的な活動に紛れ込むツールやテクニックを使用します。ランサムウェアが爆発する頃には、被害はすでに拡大しています。

従来の予防レイヤーが不十分なのはここにある:

  • ファイアウォール、VPN、MFAなどの境界防御は、多くの試みをブロックするが、盗まれた有効な認証情報を認識することはできない。攻撃者が信頼できるユーザーとしてログインすれば、そのまま通過してしまう。
  • エンドポイントエージェントを強制終了またはバイパスすることができます。LockBit 5.0は、AVおよびEDRプロセスを積極的に終了し、メモリ内でファイルレスで実行し、APIをアンフックして、痕跡をほとんど残しません。
  • ログ中心のツール (SIEM、DLP)は、攻撃者が削除できる可視性に依存しています。LockBitはイベントログを消去し、シャドウコピーを削除することで、暗号化が始まる直前に防御側の目をくらませます。
  • バックアップが直接狙われている。プロセスのキル・リストにはバックアップやリカバリ・サービスも含まれており、組織は最後の防衛手段を失うことになる。

SOCチームにとって、これは予防だけに注力するだけでは不十分であることを意味する。攻撃者が隠すことのできない行動を探し出すような、侵害後の検知と対応戦略が重要なのです:

  • クレデンシャルの悪用と 権限の昇格
  • PsExec、WMI、またはGPOを介した異常な 横移動
  • プロセスの 大量終了と シャドウコピーの削除
  • クラウドサービスやTor/Toxチャネルへの異常なアウトバウンドデータ転送

Vectra AIによるロックビット関連活動の検知

ベクトラ Vectra AIプラットフォームは、この検知ギャップを埋めるために構築されました。ログやシグネチャのみに依存するのではなく、ネットワーク、アイデンティティ、クラウド、SaaS環境全体の挙動を継続的に分析し、実際の攻撃者の活動をリアルタイムで浮き彫りにします。予防と侵害後の検出およびAI主導 対応を組み合わせることで、SOCチームは、暗号化によって業務が機能不全に陥る前にLockBit 5.0を阻止することができます。

Vectra AIがどのようにギャップを埋め、予防が失敗したときに検知と対応を確実にするのか、セルフガイド・デモを ご覧ください。

---

情報源このブログの情報は、業界研究ブログや公式勧告など、さまざまな脅威インテリジェンス分析から得られたものです。主な参考文献 LockBit 5.0 の機能に関する SOCRadar 脅威情報ブログまた LockBit 3.0/4.0 の TTP に関する共同アドバイザリー(2025 年 5 月, LockBitの新展開に関する英国NCAとTrend Microの共同レポート、そしてTrellixによるLockBitの流出した管理パネルデータに関する調査.

よくあるご質問(FAQ)