LockBit 3.0にワーマブル性能が加わる

Rory

2023.01.16

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月の1つ目のトピックは「LockBit 3.0にワーマブル性能が加わる」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。

今月の「Analyst’s Choice」、その他の記事はこちら：「開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的」、「ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に」

アナリスト：

Rory Morrissey

(Intelligence Architect @Machina Record)

LockBit 3.0にワーマブル性能が加わる

攻撃者がWindows GPOやPSExecを使った自己拡散化を試行か

Sophosの研究者が、LockBit 3.0またはLockBit Blackとして知られる、ランサムウェアLockBitの最新版を分析し、マルウェア開発者が新たな性能やツールセットを試していることを示す兆候を確認しました。開発者は、WindowsグループポリシーオブジェクトやPSExecツールを使った同ランサムウェアの自己拡散化などを試している模様です。これにより、アフィリエイトのラテラルムーブメントプロセスが加速し、ランサムウェア展開に要する時間が短縮される可能性があります。

LockBit 3.0の特性の多くは、BlackMatterランサムウェアから直接取り入れたものだと分かっています。例えば、アンチデバッグの手口は共通していて、文字列難読化に使われるコードは類似しており、APIコールをリゾルブするためのインプリメンテーションやスレッド秘匿のため手法は同一です。LockBitを利用する脅威アクターの中には、ランサムウェアREvilのアフィリエイトでもある者や、リークされたLockBit 3.0ビルダーを利用する者がいる可能性があります。

LockBit 3.0は、LockBit 2.0の機能のほとんどを手放しませんでしたが、検知をいっそう困難にする振る舞いを身につけました。また、アフィリエイトが「Backstab」と呼ばれるGitHubパッケージを使用しているところが確認されています。Backstabは、保護されたアンチマルウェアプロセスを終了し、EDRユーティリティを無力化することで、不審な動きがリアルタイムで検知されることを防ぐものです。

情報源（外部サイト）
1, https://news.sophos.com/en-us/2022/11/30/lockbit-3-0-black-attacks-and-leaks-reveal-wormable-capabilities-and-tooling/?_hsmi=236229091&_hsenc=p2ANqtz-8–0An61GCgNe0btY83Q5_6WKI9swjVB9RJD5lTDXrOloL8NBZlcIAHzNzOe1u7-FbWXSSc40uTMfad-Zu4J-qtHkQSw
2, https://github.com/sophoslabs/IoCs/blob/master/Ransomware-Lockbit3-IOCs.csv

アナリストのコメント

影響範囲

LockBit 3.0は、金融、テクノロジー、ヘルスケアといった、さまざな業界を標的とする非常に精巧なマルウェアです。これらの業界に属する組織や秘密情報を持つ組織が、LockBit 3.0に狙われるリスクにさらされている可能性は高いです。また、セキュリティ管理が甘かったり、システムが古かったりする組織も狙われるリスクにさらされています。

見解

ワーマブル性能とは、人の操作なしに、ひとりでに他のシステムに拡散するマルウェアの性能を指します。これは通常、ソフトウェアやシステムの脆弱性を悪用することで実現されます。ワーマブルなマルウェアはシステムに感染すると、そのシステムを利用して同じネットワーク上の他のシステム、さらには他のネットワーク上のシステムにも感染する可能性があります。複数のシステムに素早く感染できることから、このような自己拡散能力はマルウェアの封じ込めと除去を非常に困難にする恐れがあります。ワームは、ネットワークやインターネットの至る所に自己拡散し、影響を受けるシステムに大きな損害と障害をもたらす、最も危険なマルウェアタイプの1つです。