ロックビット・ランサムウェア

LockBit ランサムウェアとは?

LockBitランサムウェアは今年、他のどのランサムウェアよりも多くのサイバー攻撃に関与しており、世界で最も活発なランサムウェアとなっています。また、ランサムウェアの平均的な支払額が1件あたり100万ドル近くであるのに対し、LockBitの被害者は平均約8万5000ドルの身代金を支払っており、これはLockBitが中小規模の組織をターゲットにしていることを示しています。 

ロックビットは2019年9月に初めて観測された。それ以来、進化を遂げてきた:LockBit 2.0は2021年に登場し、現行バージョンであるLockBit 3.0は2022年6月に発見された

LockBit は、主に購入したアクセス、パッチが適用されていない脆弱性、インサイダー・アクセス、ゼロデイ・エクスプロイトを通じて、標的ネットワークへの最初のアクセスを試みます。「第二段階」の LockBit は、被害者のシステムの制御を確立し、ネットワーク情報を収集し、データの窃取や暗号化などの主な目標を達成します。

LockBit攻撃は通常、二重の恐喝戦術を採用し、被害者にまず支払いを促し、暗号化されたファイルへのアクセスを回復させ、次に盗まれたデータが公開されるのを防ぐために再度支払いを促します。Ransomware-as-a-Service (RaaS)として使用される場合、Initial Access Broker (IAB)は、第一段階のマルウェアを展開するか、ターゲットとなる組織のインフラ内でアクセス権を獲得します。その後、第二段階の悪用のために、そのアクセスを第一段階のLockBitオペレーターに販売します。

ロックビット

ロックビット最新ニュース

ロックビット・ギャングとは?

LockBitグループは、自らをランサムウェアグループの「ロビン・フッド」と考えている。FBIは、LockBitグループがロシア系であることを直接には示唆していないが、LockBitの公的コミュニケーション(広範な反欧米の政治的見解を支持)を評価すると、彼らはロシアに起源を持ち、世界的な関連会社を持っていることがわかる。同グループは、いわゆる「倫理的」なランサムウェアの使用を推進し、医療、教育、慈善、社会奉仕団体を標的にすることはないと主張している。

LockBitグループは、The Onion Router (TOR)ネットワーク上のダークウェブポータルを維持し、そこで人材を募集し、要求に応じない被害者のデータを公開している。ロックビット集団は、身代金を支払った被害者にはデータを返すと保証しており、これを確立することが彼らのビジネスモデルの一部となっている。

LockBit ランサムウェアの仕組み (TT&P)

LockBit 2.0 は、主に購入したアクセス、パッチが適用されていない脆弱性、インサイダー・アクセス、ゼロデイ・エクスプロイトを通じて、標的ネットワークへの初期アクセスを求めます。LockBit の RaaS モデルでは、主要な運営グループがダークウェブ上の広告を通じて初期アクセスブローカー (IAB) を募集し、リモートデスクトッププロトコル (RDP) や仮想プライベートネットワーク (VPN) アクセスのために盗んだ認証情報を入手します。LockBit グループはまた、既知のソフトウェアの脆弱性を悪用して、パッチが適用されていない、または設定が誤っている企業ネットワークを利用するエクスプロイトも開発しています。 

初期アクセスを獲得した後、LockBit 2.0マルウェアはターゲット環境に適したC2ツールをダウンロードします。LockBit 2.0の第2段階のC2マルウェアは、Cobalt Strike Beacon、MetaSploit、Mimikatzなどの標準的な侵入テストツールや、カスタムエクスプロイトコードを使用します。Contiと同様に、LockBit 2.0はワームのような機能を使って標的ネットワーク内に拡散します。LockBit 2.0マルウェアのソースコードは、セキュリティ研究者による分析から自身を保護することでも悪名高い。ツールはデフォルトで暗号化されており、適切な環境が検出された場合にのみ復号化される。

ロックビット2.0ターゲット

LockBit 2.0は主にWindowsシステムを標的としているが、いくつかの新しいバリエーションは、VMWare ESXi仮想マシンを含むLinuxベースのデータセンター仮想化環境を攻撃するように修正されている。このマルウェアは、米国、カナダ、ヨーロッパ、アジア、ラテンアメリカの被害者を攻撃するように設計されています。LockBit 2.0は、ウクライナを除く独立国家共同体およびほとんどの東欧諸国のシステムを無視します。 

LockBitは通常、中規模の組織を標的としている。これはLockBitのユニークなRaaSモデルによるもので、不満を持つ内部関係者がIABとして行動し、価格を設定し、身代金を直接徴収することが容易になるためと思われる。

ロックビット2.0攻撃はどのようなものか

LockBit 2.0 IABは、「Stealbit」として知られるアプリケーションを展開し、カスタマイズ可能なターゲットファイル拡張子セットで被害者のファイルを攻撃します。標的のファイルが攻撃者がコントロールするサーバーにコピーされた後、LockBit 2.0は自動ブートプロセスとしてWindowsレジストリに自身をインストールし、コンピュータが再起動されたときに自動起動するように永続性を維持します。LockBit 2.0はまた、他のホストへの接続を介してネットワーク内を横方向に移動し、他のマシンにランサムウェアを展開しようとします。

その後、マルウェアはカスタム・アイコン・ファイルをインストールし、ECC(Curve25519)セッション・キーのペアを使用してマルチスレッド暗号化を進め、プライベート・キーはWindowsレジストリに保存されたECCパブリック・キーで暗号化される。LockBitの以前のバージョンでは、身代金化されたファイルを区別するために「.acbd」ファイル拡張子が付加されていたが、新しいバージョンでは「.lockbit」拡張子が使用されている。最後に、LockBitはデスクトップの壁紙を署名入りのLockBit身代金警告画像に変更し、「Restore-My-Files.txt」と題された身代金メモが影響を受けた各ディレクトリにドロップされます。

LockBitランサムウェアから身を守る方法

ロックビット2.0の攻撃を防ぐには、効果的なサイバーセキュリティと、暗号化されたオフラインおよびオフサイト・バックアップを含む効果的なバックアップ戦略を維持することが必要です。 

LockBit 侵害のリスクを軽減するには、強力なパスワードポリシーと多要素認証による強固なアクセス制御を導入し、セキュリティ更新プログラムがリリースされたら確実に適用する脆弱性管理プログラムを維持し、重要なリソースをセグメント化した内部ネットワークを構築します。さらに、Windows オペレーティング・システムで「保護されたファイル」を有効にし、LockBit が重要なシステム・ファイルを変更できないようにします。

CylanceOPTICS ロックビットを防ぐ

CylanceOPTICS®は、根本原因分析、スマートな脅威ハンティング、自動化された検出と対応機能により、セキュリティインシデントを防止するために、人工知能(AI)を使用してデバイス上での脅威検出と修復を提供します。当社のEDR(Endpoint Detection and Response)アプローチは、レスポンスの遅延を効果的に解消します。これは、軽微なセキュリティ・インシデントと、制御不能な広範なイベントとの違いとなります。
ビデオを見る

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース