ロックビット
LockBit BlackまたはLockbit 3.0としても認識されているLockBitは、世界最大のランサムウェアグループの1つであり、様々な業界にわたる広範なサイバー攻撃を指揮し、その執拗かつ適応力のある戦略で世界中の何千もの組織に影響を与えています。
ロックビットの由来
LockBitの起源は、LockBitの前身とされる「ABCD」ランサムウェアの最初の活動が確認された2019年9月まで遡る。2020年1月までに、LockBitは現在の名前でロシア語のサイバー犯罪フォーラムに登場し始めた。この最初の足がかりから、LockBitは急速にサイバー犯罪界で最も著名なランサムウェアファミリーの1つとなり、専用のリークサイト(DLS)と身代金交渉ポータルを含むRansomware-as-a-Service(RaaS)モデルを採用している。アフィリエイトは、LockBitのランサムウェアビルダーを使用するためにサインオンし、DLSを介して新しい被害者を管理し、LockBitの後のバージョンに組み込まれた情報窃盗ツールである「StealBit」を使用することもあります。
2021年6月、LockBit 2.0(しばしばLockBit Redと呼ばれる)がデビューし、大きな節目を迎えた。LockBit の人気と影響力はすでに高まっていたが、このリリースによってグループの知名度は劇的に拡大した。2021年10月には、LockBit Linux-ESXi Lockerバージョン1.0が登場し、LockBitの標的機能をLinuxとVMware ESXiシステムに拡大しました。ランサムウェアの運営者は、2022年3月にLockBit Blackとも呼ばれるLockBit 3.0を出現させ、その製品を進化させ続けました。この新しい亜種は、BlackMatterやAlphv(BlackCat)ランサムウェアとコードの類似性を共有しています。その最初の出現は2022年3月に報告されましたが、多くの人が、LockBit 3.0が広く採用されるようになった2022年6月を重要な発売日として指摘しています。LockBit Red(LockBit 2.0をリブランディングしたもの)は、ほとんどのアフィリエイトにとってデフォルトのビルダーであり続け、LockBit Blackは身代金として250万米ドル以上を要求したアフィリエイトのためのものでした。このバージョンでは、特定のプロセスを強制終了したり、ファイルやデバイスの許可リストを定義するなどの高度な機能も導入され、最高1000万米ドルの報酬を提供するバグ報奨金プログラムも含まれていました。
2022年9月ロックビット3.0ビルダーのリーク のビルダーが流出し、LockBitの関連会社以外でもLockBitのペイロードを生成できるようになり、拡散が加速しました。このランサムウェアの次の反復であるLockBit Greenは 2023年1月に発表され、流出したContiバージョン3のソースコードを組み込んだと報告されています。LockBit Blackとは異なり、LockBit Greenは多額の身代金要求の証明を必要としなかったため、より幅広いサイバー犯罪者に対応することができました。その4カ月後の2023年4月、新しいLockBit macOSの亜種がオープンソースのmalware 現れました。この亜種は、LockBitのLinux/ESXiバージョンの機能をほぼ反映しており、可能な限り多くのプラットフォームを感染させようとするグループの継続的な取り組みを強調しています。
ロックビットに対する法執行機関の圧力は、2024年2月に「クロノス作戦」(多国籍企業による協調的な取り組み)により、ロックビットのDLSと関連会社のポータルが一時的に押収されたことで強まりました。ロックビットのサービスは5日後に復旧しましたが、2024年5月のさらなる行動により、主要な開発者および管理者として特定されたロシア人を含む、グループの主要メンバー数名が起訴され、制裁を受けることになりました。2024年12月、LockBitはこれらの挫折に対抗するため、次のものをリリース しました。 ロックビット4.0をリリースし、特にLockBit Redペイロードを生成するオプションを削除しました。継続的な混乱にもかかわらず、LockBit は定期的にサービスを更新し、RaaS フレームワークを通じてアフィリエイトを魅了し続けることで、強力なランサムウェアとしての地位を維持しています。
Lockbitがターゲットにしている国
Lockbitの政治的中立性の主張にもかかわらず、被害者のかなりの数はNATO加盟国とその同盟国であるようだ。
LockBit 3.0株を使用した攻撃の約50%は、米国内の企業に影響を及ぼしています。LockBitを使用したハッカーは、米国の被害者から9,100万ドル以上の身代金を受け取っています。
ブラジルとインドもターゲットにされている。
ロックビットがターゲットとする業界
製造業はロックビットによって頻繁に攻撃されているが、一貫して特定の業界を標的にしているわけではなく、このグループが無差別に標的にしていることを裏付けている。
通常、中小企業を食い物にしているが、IT大手アクセンチュアのような大企業でさえ、ロックビットの影響を受けないわけではない。
ソース SOCRadar
ロックビットの犠牲者
ロックビットの攻撃方法
ロックビット3.0の参加者は、以下の方法でネットワークにアクセスする:
- 既存のアカウント認証情報の漏洩
- RDP違反の活用
- 公共向けシステムの脆弱性を突く
- 通常のブラウジング中に悪意のあるウェブサイトに移動する。
- フィッシング攻撃を行う
LockBit 3.0は、現在の権限が不十分な場合に、より高いアクセス・レベルを獲得しようとし、自動ログイン機能を使用して権限を昇格させる。
LockBit 3.0は、コントロールサーバーとの通信を暗号化し、実行後に自己削除することで活動を隠し、正しいパスワードが提供された場合にのみ復号化を進めます。
LockBit 3.0は、ネットワーク内に組み込まれたまま、侵害されたユーザーアカウントを操作し、自動ログインするようにシステムを設定する。
LockBit 3.0 は、Microsoft Sysinternals 社の ProDump を利用して、LSASS.exe からプロセス・メモリの内容を抽出します。
LockBit 3.0は、SoftPerfect Network Scannerを使用してネットワークをスキャンし、詳細なシステムおよびドメインデータを収集し、特定の言語設定でシステムへの感染を回避します。
内部ネットワークへの侵入については、LockBit 3.0はSplashtopリモート・デスクトップ・ソフトウェアを活用している。
LockBit 3.0は、FileZillaを使用してコマンドと制御を設定し、Windowsシステム上でPlinkを介して安全なシェル対話を自動化します。動作中、LockBit 3.0はコマンドを実行し、ソフトウェア管理のためにWindowsパッケージマネージャであるChocolateyを使用します。
LockBit 3.0は、特注のツールStealbitと一般的なクラウドサービスを使い、ネットワークからデータを吸い上げる。
LockBit 3.0は、ログの消去、ごみ箱のクリア、データの暗号化、プロセスやサービスの停止、シャドーコピーの削除、そして感染したシステムの外観を独自のイメージで変更することで、オペレーションを妨害する。
ロックビット3.0の参加者は、以下の方法でネットワークにアクセスする:
- 既存のアカウント認証情報の漏洩
- RDP違反の活用
- 公共向けシステムの脆弱性を突く
- 通常のブラウジング中に悪意のあるウェブサイトに移動する。
- フィッシング攻撃を行う
LockBit 3.0は、現在の権限が不十分な場合に、より高いアクセス・レベルを獲得しようとし、自動ログイン機能を使用して権限を昇格させる。
LockBit 3.0は、コントロールサーバーとの通信を暗号化し、実行後に自己削除することで活動を隠し、正しいパスワードが提供された場合にのみ復号化を進めます。
LockBit 3.0は、ネットワーク内に組み込まれたまま、侵害されたユーザーアカウントを操作し、自動ログインするようにシステムを設定する。
LockBit 3.0 は、Microsoft Sysinternals 社の ProDump を利用して、LSASS.exe からプロセス・メモリの内容を抽出します。
LockBit 3.0は、SoftPerfect Network Scannerを使用してネットワークをスキャンし、詳細なシステムおよびドメインデータを収集し、特定の言語設定でシステムへの感染を回避します。
内部ネットワークへの侵入については、LockBit 3.0はSplashtopリモート・デスクトップ・ソフトウェアを活用している。
LockBit 3.0は、FileZillaを使用してコマンドと制御を設定し、Windowsシステム上でPlinkを介して安全なシェル対話を自動化します。動作中、LockBit 3.0はコマンドを実行し、ソフトウェア管理のためにWindowsパッケージマネージャであるChocolateyを使用します。
LockBit 3.0は、特注のツールStealbitと一般的なクラウドサービスを使い、ネットワークからデータを吸い上げる。
LockBit 3.0は、ログの消去、ごみ箱のクリア、データの暗号化、プロセスやサービスの停止、シャドーコピーの削除、そして感染したシステムの外観を独自のイメージで変更することで、オペレーションを妨害する。
ロックビットが使用したTTP
Vectra AIを使った検知 Lockbitの方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
LockBitランサムウェアとは?
LockBitは、組織のデータを暗号化し、復号化キーの身代金を要求するRansomware-as-a-Service(RaaS)です。そのステルス性、スピード、二重の恐喝スキームの使用で知られています。
LockBitはどのようにしてネットワークへの初期アクセスを得るのですか?
LockBit は多くの場合、リモートデスクトッププロトコル(RDP)の悪用、フィッシング、スピアフィッシング 、以前に侵入されたアカウントの認証情報の使用など、さまざまな手段で最初のアクセスを獲得します。
LockBit 3.0は以前のバージョンと何が違うのですか?
LockBit 3.0は、暗号化と攻撃ペイロードをカスタマイズする機能を改善し、よりモジュール化され、より回避的になっている。BlackMatterやBlackCatのような他のランサムウェアの機能を取り入れています。
ロックビットは重大なサイバー事件に巻き込まれたことがありますか?
そう、ロックビットは、多国籍の大企業が関与した有名な事件を含め、世界中の企業に対する数多くの攻撃の原因となっている。
LockBit は身代金要求プロセスをどのように処理していますか?
LockBitは通常、侵害されたシステム内に支払い方法を記した身代金メモを残す。支払いは通常暗号通貨で要求され、交渉はダークウェブ上で行われることもある。
LockBitに対してどのような防御策が有効ですか?
システムの定期的なアップデートとパッチ適用、強固なアクセス制御の導入、頻繁なセキュリティ意識向上トレーニングの実施、高度な脅威検知ツールの使用、オフラインバックアップの維持は、重要な防御策である。
LockBit 暗号化ファイルの復号化ツールはありますか?
LockBitの被害に遭った場合、国家犯罪捜査局(NCA)はLockBitのサイトから1000個の復号鍵を入手し、盗まれたデータの復号化を支援している。
ネットワークがLockBitによって侵害された場合、どのような対処が最善でしょうか?
影響を受けたシステムを隔離し、インシデントレスポンス 計画を開始し、法執行機関およびサイバーセキュリティの専門家に連絡する。身代金の支払いは、データ復旧を保証するものではなく、さらなる犯罪行為に資金を提供する可能性があるため、避けること。
LockBitの背後にいるオペレーターについて何がわかっていますか?
運営者は、RaaSモデルで活動する高度なサイバー犯罪者集団の一員であり、匿名性を維持したまま、ランサムウェアを拡散させるために関連会社をリクルートしていると考えられている。