LockBit 3.0にワーマブル性能が加わる | Codebook|Security News
Codebook|Security News > Articles > Analyst's Choice > LockBit 3.0にワーマブル性能が加わる

Analyst's Choice

Cyber Intelligence

Intelligence

サイバーインテリジェンス

LockBit 3.0にワーマブル性能が加わる

Rory

Rory

2023.01.16

 

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月の1つ目のトピックは「LockBit 3.0にワーマブル性能が加わる」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。

今月の「Analyst’s Choice」、その他の記事はこちら:「開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的」、「ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

LockBit 3.0にワーマブル性能が加わる

攻撃者がWindows GPOやPSExecを使った自己拡散化を試行か

Sophosの研究者が、LockBit 3.0またはLockBit Blackとして知られる、ランサムウェアLockBitの最新版を分析し、マルウェア開発者が新たな性能やツールセットを試していることを示す兆候を確認しました。開発者は、WindowsグループポリシーオブジェクトやPSExecツールを使った同ランサムウェアの自己拡散化などを試している模様です。これにより、アフィリエイトのラテラルムーブメントプロセスが加速し、ランサムウェア展開に要する時間が短縮される可能性があります。

LockBit 3.0の特性の多くは、BlackMatterランサムウェアから直接取り入れたものだと分かっています。例えば、アンチデバッグの手口は共通していて、文字列難読化に使われるコードは類似しており、APIコールをリゾルブするためのインプリメンテーションやスレッド秘匿のため手法は同一です。LockBitを利用する脅威アクターの中には、ランサムウェアREvilのアフィリエイトでもある者や、リークされたLockBit 3.0ビルダーを利用する者がいる可能性があります。

LockBit 3.0は、LockBit 2.0の機能のほとんどを手放しませんでしたが、検知をいっそう困難にする振る舞いを身につけました。また、アフィリエイトが「Backstab」と呼ばれるGitHubパッケージを使用しているところが確認されています。Backstabは、保護されたアンチマルウェアプロセスを終了し、EDRユーティリティを無力化することで、不審な動きがリアルタイムで検知されることを防ぐものです。

 

情報源(外部サイト)

1, https://news.sophos.com/en-us/2022/11/30/lockbit-3-0-black-attacks-and-leaks-reveal-wormable-capabilities-and-tooling/?_hsmi=236229091&_hsenc=p2ANqtz-8–0An61GCgNe0btY83Q5_6WKI9swjVB9RJD5lTDXrOloL8NBZlcIAHzNzOe1u7-FbWXSSc40uTMfad-Zu4J-qtHkQSw

2, https://github.com/sophoslabs/IoCs/blob/master/Ransomware-Lockbit3-IOCs.csv

アナリストのコメント

影響範囲

LockBit 3.0は、金融、テクノロジー、ヘルスケアといった、さまざな業界を標的とする非常に精巧なマルウェアです。これらの業界に属する組織や秘密情報を持つ組織が、LockBit 3.0に狙われるリスクにさらされている可能性は高いです。また、セキュリティ管理が甘かったり、システムが古かったりする組織も狙われるリスクにさらされています。

見解

ワーマブル性能とは、人の操作なしに、ひとりでに他のシステムに拡散するマルウェアの性能を指します。これは通常、ソフトウェアやシステムの脆弱性を悪用することで実現されます。ワーマブルなマルウェアはシステムに感染すると、そのシステムを利用して同じネットワーク上の他のシステム、さらには他のネットワーク上のシステムにも感染する可能性があります。複数のシステムに素早く感染できることから、このような自己拡散能力はマルウェアの封じ込めと除去を非常に困難にする恐れがあります。ワームは、ネットワークやインターネットの至る所に自己拡散し、影響を受けるシステムに大きな損害と障害をもたらす、最も危険なマルウェアタイプの1つです。

緩和戦略

1. 重要な内部ログイン(管理コンソールなど)に多要素認証(MFA)を導入する:これにより、管理者パスワードの傍受とそのキーストロークの取得ができるツールを使って侵入者が管理コンソールにアクセスするのを阻止することが可能です。

2.ソフトウェアとシステムを常に最新の状態に保つ:多くのマルウェア攻撃が古いソフトウェアの脆弱性を悪用します。よって、すべてのソフトウェアとシステムでパッチの適用と最新バージョンへの更新を行ってください。

3.ネットワーク・セグメンテーションを導入する:ネットワークの分割によりマルウェアは拡散しにくくなります。ファイアウォールとVLANを使用して、ネットワークの各部分を分離しましょう。

4.侵入検知システム(IDS)および侵入防止システム(IPS)を使用する:IDSとIPSを導入することで、マルウェアがネットワークに侵入するのを検知・防止することができます。

5.定期的にデータをバックアップする:定期的にデータをバックアップすることで、マルウェア攻撃からの復旧を容易にできるほか、盗まれたデータが攻撃者に手段として利用されるのを防ぐこともできます。

6.インシデントレスポンス計画を実行に移す:インシデントレスポンス計画を策定しておくことで、マルウェア攻撃の際に迅速かつ効果的に対応することができます。

Lockbit 3.0に関連するIOCの一覧は、この記事の「情報源」のリンク先にてご覧いただけます。

Writer

アナリストプロフィール

Rory Morrissey / 株式会社マキナレコード 脅威インテリジェンス・アナリスト

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ