マイクロソフト アイデンティティ セキュリティのギャップを明らかにします。
アイデンティティ・エクスポージャー・ギャップ分析を今すぐご予約ください。
Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

ロックビット

LockBit BlackまたはLockbit 3.0としても認識されているLockBitは、世界最大のランサムウェアグループの1つであり、様々な業界にわたる広範なサイバー攻撃を指揮し、その執拗かつ適応力のある戦略で世界中の何千もの組織に影響を与えています。

検知 ロックビットのTTP
組織はLockbitランサムウェア攻撃に対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

ロックビットの由来

2019年9月の創業以来、ロックビットはサイバー犯罪の世界で悪名高くなり、RaaSモデルと「StealBit」malware を活用して、企業やインフラを積極的に標的にしている。

バージョンLockBit Redから3.0へと進み、その度にセキュリティ分析にとって困難な洗練された機能が導入された。2023年には、消滅したランサムウェアContiの機能を統合したLockBit Greenが登場し、サイバー犯罪界における適応力の高さを示しました。

しかし、2024年2月の「オペレーション・クロノス」はロックビットの活動を妨害し、その信頼性を低下させ、ランサムウェアと闘う国際的な取り組みを明らかにした。法執行機関がロックビットのサイトを掌握したにもかかわらず、さらなる攻撃が報告され、このグループの執拗さが示された。

地図製作: OCD

ロックビットの由来
ターゲット

ロックビットのターゲット

Lockbitがターゲットにしている国

Lockbitの政治的中立性の主張にもかかわらず、被害者のかなりの数はNATO加盟国とその同盟国であるようだ。

LockBit 3.0株を使用した攻撃の約50%は、米国内の企業に影響を及ぼしています。LockBitを使用したハッカーは、米国の被害者から9,100万ドル以上の身代金を受け取っています。

ブラジルとインドもターゲットにされている。

ソース SOCRadar

ロックビットがターゲットとする業界

製造業はロックビットによって頻繁に攻撃されているが、一貫して特定の業界を標的にしているわけではなく、このグループが無差別に標的にしていることを裏付けている。

通常、中小企業を食い物にしているが、IT大手アクセンチュアのような大企業でさえ、ロックビットの影響を受けないわけではない。

ソース SOCRadar

ロックビットがターゲットとする業界

製造業はロックビットによって頻繁に攻撃されているが、一貫して特定の業界を標的にしているわけではなく、このグループが無差別に標的にしていることを裏付けている。

通常、中小企業を食い物にしているが、IT大手アクセンチュアのような大企業でさえ、ロックビットの影響を受けないわけではない。

ソース SOCRadar

ロックビットの犠牲者

現在までに1661人以上の被害者がLockbitの悪質な作戦の餌食となっている。

ソース ランサムウェア.ライブ

攻撃方法

ロックビットの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

ロックビット3.0の参加者は、以下の方法でネットワークにアクセスする:

  • 既存のアカウント認証情報の漏洩
  • RDP違反の活用
  • 公共向けシステムの脆弱性を突く
  • 通常のブラウジング中に悪意のあるウェブサイトに移動する。
  • フィッシング攻撃を行う
基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

LockBit 3.0は、現在の権限が不十分な場合に、より高いアクセス・レベルを獲得しようとし、自動ログイン機能を使用して権限を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

LockBit 3.0は、コントロールサーバーとの通信を暗号化し、実行後に自己削除することで活動を隠し、正しいパスワードが提供された場合にのみ復号化を進めます。

LockBit 3.0は、ネットワーク内に組み込まれたまま、侵害されたユーザーアカウントを操作し、自動ログインするようにシステムを設定する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

LockBit 3.0 は、Microsoft Sysinternals 社の ProDump を利用して、LSASS.exe からプロセス・メモリの内容を抽出します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

LockBit 3.0は、SoftPerfect Network Scannerを使用してネットワークをスキャンし、詳細なシステムおよびドメインデータを収集し、特定の言語設定でシステムへの感染を回避します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

内部ネットワークへの侵入については、LockBit 3.0はSplashtopリモート・デスクトップ・ソフトウェアを活用している。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

LockBit 3.0は、FileZillaを使用してコマンドと制御を設定し、Windowsシステム上でPlinkを介して安全なシェル対話を自動化します。動作中、LockBit 3.0はコマンドを実行し、ソフトウェア管理のためにWindowsパッケージマネージャであるChocolateyを使用します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

LockBit 3.0は、特注のツールStealbitと一般的なクラウドサービスを使い、ネットワークからデータを吸い上げる。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

LockBit 3.0は、ログの消去、ごみ箱のクリア、データの暗号化、プロセスやサービスの停止、シャドーコピーの削除、そして感染したシステムの外観を独自のイメージで変更することで、オペレーションを妨害する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

ロックビット3.0の参加者は、以下の方法でネットワークにアクセスする:

  • 既存のアカウント認証情報の漏洩
  • RDP違反の活用
  • 公共向けシステムの脆弱性を突く
  • 通常のブラウジング中に悪意のあるウェブサイトに移動する。
  • フィッシング攻撃を行う
基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

LockBit 3.0は、現在の権限が不十分な場合に、より高いアクセス・レベルを獲得しようとし、自動ログイン機能を使用して権限を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

LockBit 3.0は、コントロールサーバーとの通信を暗号化し、実行後に自己削除することで活動を隠し、正しいパスワードが提供された場合にのみ復号化を進めます。

LockBit 3.0は、ネットワーク内に組み込まれたまま、侵害されたユーザーアカウントを操作し、自動ログインするようにシステムを設定する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

LockBit 3.0 は、Microsoft Sysinternals 社の ProDump を利用して、LSASS.exe からプロセス・メモリの内容を抽出します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

LockBit 3.0は、SoftPerfect Network Scannerを使用してネットワークをスキャンし、詳細なシステムおよびドメインデータを収集し、特定の言語設定でシステムへの感染を回避します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

内部ネットワークへの侵入については、LockBit 3.0はSplashtopリモート・デスクトップ・ソフトウェアを活用している。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

LockBit 3.0は、FileZillaを使用してコマンドと制御を設定し、Windowsシステム上でPlinkを介して安全なシェル対話を自動化します。動作中、LockBit 3.0はコマンドを実行し、ソフトウェア管理のためにWindowsパッケージマネージャであるChocolateyを使用します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

LockBit 3.0は、特注のツールStealbitと一般的なクラウドサービスを使い、ネットワークからデータを吸い上げる。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

LockBit 3.0は、ログの消去、ごみ箱のクリア、データの暗号化、プロセスやサービスの停止、シャドーコピーの削除、そして感染したシステムの外観を独自のイメージで変更することで、オペレーションを妨害する。

MITRE ATT&CK マッピング

ロックビットが使用したTTP

LockBitは、BlackMatterやBlackCatランサムウェアファミリーと共通の特徴を反映し、以前の製品よりもモジュール化された回避的なTTP(戦術、技術、手順)を採用しています。

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1189
Drive-by Compromise
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0005: Defense Evasion
T1480
Execution Guardrails
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1614
System Location Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1072
Software Deployment Tools
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使った検知 Lockbitの方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

AWS Suspect Admin Privilege Granting

External Remote Access

M365 Ransomware

M365 Suspicious SharePoint Operation

Privilege Anomaly: Unusual Account on Host

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

LockBitランサムウェアとは?

LockBitは、組織のデータを暗号化し、復号化キーの身代金を要求するRansomware-as-a-Service(RaaS)です。そのステルス性、スピード、二重の恐喝スキームの使用で知られています。

LockBitはどのようにしてネットワークへの初期アクセスを得るのですか?

LockBit は多くの場合、リモートデスクトッププロトコル(RDP)の悪用、フィッシング、スピアフィッシング 、以前に侵入されたアカウントの認証情報の使用など、さまざまな手段で最初のアクセスを獲得します。

LockBit 3.0は以前のバージョンと何が違うのですか?

LockBit 3.0は、暗号化と攻撃ペイロードをカスタマイズする機能を改善し、よりモジュール化され、より回避的になっている。BlackMatterやBlackCatのような他のランサムウェアの機能を取り入れています。

ロックビットは重大なサイバー事件に巻き込まれたことがありますか?

そう、ロックビットは、多国籍の大企業が関与した有名な事件を含め、世界中の企業に対する数多くの攻撃の原因となっている。

ロックビットは通常どのようなセクターをターゲットにしていますか?

LockBitは特定のセクターをターゲットにしているわけではない。医療教育製造業など幅広い業界をターゲットにしていることが知られている。

LockBit は身代金要求プロセスをどのように処理していますか?

LockBitは通常、侵害されたシステム内に支払い方法を記した身代金メモを残す。支払いは通常暗号通貨で要求され、交渉はダークウェブ上で行われることもある。

LockBitに対してどのような防御策が有効ですか?

システムの定期的なアップデートとパッチ適用、強固なアクセス制御の導入、頻繁なセキュリティ意識向上トレーニングの実施、高度な脅威検知ツールの使用、オフラインバックアップの維持は、重要な防御策である。

LockBit 暗号化ファイルの復号化ツールはありますか?

LockBitの被害に遭った場合、国家犯罪捜査局(NCA)はLockBitのサイトから1000個の復号鍵を入手し、盗まれたデータの復号化を支援している。

ネットワークがLockBitによって侵害された場合、どのような対処が最善でしょうか?

影響を受けたシステムを隔離し、インシデントレスポンス 計画を開始し、法執行機関およびサイバーセキュリティの専門家に連絡する。身代金の支払いは、データ復旧を保証するものではなく、さらなる犯罪行為に資金を提供する可能性があるため、避けること。

LockBitの背後にいるオペレーターについて何がわかっていますか?

運営者は、RaaSモデルで活動する高度なサイバー犯罪者集団の一員であり、匿名性を維持したまま、ランサムウェアを拡散させるために関連会社をリクルートしていると考えられている。

組織はLockbitランサムウェア攻撃に対して安全ですか?

攻撃の危険性を評価する