昨年実施されたことがわかっているランサムウェア活動のうち、28%近くはLockBitによって行われたものです。そして、同グループがランサムウェアランドスケープにおける重大な脅威であることは今も変わりません。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年7月20日付)を翻訳したものです。
ランサムウェアの世界では、LockBitが存在感の点でも影響範囲の面でも飛び抜けたサイバー脅威となりつつあり、世界中の組織に深刻な課題を突きつけています。
同グループは近年、その高度かつ無慈悲なランサムウェアによって悪名を馳せてきました。攻撃ではコンピューターシステムを侵害し、重要なデータを暗号化して相当額の身代金を要求するので、被害者は支払いに応じるか否かの難しい決断を迫られることになります。
ここ1年間、ほぼ全体を通してLockBitは最も優勢なランサムウェア種の座に居座り続けています。Flashpointのデータによれば、2022年7月から2023年6月までの既知の全ランサムウェア攻撃のうち、27.93%がLockBitによるものでした。
被害者の投稿数が多かったランサムウェアグループトップ10。期間は2022年7月1日〜2023年6月30日(情報源:Flashpoint)
対策にあたって、意識向上、知見の蓄積、そして備えは必要不可欠です。LockBitの概要や、LockBitから自組織を守るために必要な予防策をしっかりと理解することで、組織は防御体制を強化し、進化を続けるこのサイバー脅威がもたらすリスクを緩和することができます。
LockBitとは?
「LockBit」は、2019年9月から活動しているランサムウェア・アズ・ア・サービス(RaaS)グループです。Lockbitは暗号化を行うためのランサムウェア製品を複数種開発していますが、これには以下が含まれます。
・.abcd
・LockBit 1.0
・LockBit 2.0
・LockBit 3.0
・LockBit Green
RaaSグループであるLockBitは利益共有モデルを採用しており、「アフィリエイト」と呼ばれるサイバー犯罪者らにサービスを提供しています。そしてアフィリエイトは、組織を標的にしてLockBitランサムウェアを展開するという役目を果たします。
同グループはExploitやRAMPといった複数のハッキングフォーラムで投稿を行っているほか、ランサムウェアリークサイトを保有しており、そこで被害者のデータを公開しています。
LockBitの歩み
LockBitランサムウェアが初めて登場したのは2019年9月のことでしたが、当初は「ABCD」ランサムウェアという呼び名で知られていました。というのも、同グループは暗号化を行う際に「.abcd virus」というファイル拡張子を使用していたからです。その後2020年1月、同グループはRaaSグループとしての活動を開始し、「LockBit」という名称を採用しました。
2020年9月、LockBitは、グループ独自のWebサイトを作成するとExploit上で発表しました。このWebサイトは同グループにとって、最近の攻撃に関するアナウンスをしたり、身代金を支払わなかった被害者のデータを公開したりするための場として機能しています。投稿は主にロシア語と英語で行われますが、サイトには、自らの所在地はオランダであり、政治的な動機は持たないとする同グループの主張が記載されています。
LockBitは、教育、金融、保健医療、インターネットソフトウェア/サービス、プロフェッショナルサービスなど、さまざまな業界の組織を攻撃してきました。被害組織の規模に関しては、トレンドマイクロが2022年にリリースしたレポートによれば、LockBitの被害者の80.5%が中小企業であり、これより大規模な企業の割合は19.5%に過ぎないとのことです。そして被害件数を見てみると、2020年9月から2023年7月までにLockBitのリークサイトに掲載された、被害者のデータに関する投稿の数は2,116件でした。
関連グループ
Mandiantのアナリストは、2022年6月、「Evil Corp」グループがコスト効率の良さを理由にLockBitランサムウェアを使用し始めたと報告しています。またEvil Corpにとって、同ランサムウェアの使用は米国財務省外国資産管理局(OFAC)によって科された規制を回避するための手段でもありました。
2021年11月、ランサムウェアグループ「BlackMatter」(「DarkSide」ランサムウェアの派生版)は、法執行機関の圧力を理由に活動を終了すると発表しました。BlackMatterは残っていた被害者のデータをLockBitのもとへと転送し、その後の恐喝などはLockBitへ引き継がれることとなりました。
2020年6月には、「Maze」ランサムウェアが、「ランサムウェア・カルテル」のオペレーションの一環としてLockBitやその他のランサムウェアグループと協力している旨を主張しました。この協力の目的は、さまざまなランサムウェア脅威アクターに対してデータ公開の場や経験共有の場を提供することでした。
LockBitに対する世評
LockBitは、攻撃数の多さに反して比較的目立たないランサムウェアグループとしての地位を確立しています。特に多いのは製造業界やインフラ業界の組織に対する攻撃ですが、その活動からは、上記に限らず多様な業界を攻撃する意思があることも明らかです。
ただ、他のランサムウェアグループの中には、「荒々しい」、「予測不能」、または「大げさ」とも形容できるような世評を作り上げることで自らの活動とともに「ブランド」を成長させようとするグループがいる一方で、LockBitはというと、ランサムウェア活動の運営方式に関しては余計なことをほぼ一切行わず、「ビジネスライク」に徹しています。
LockBitは、ランサムウェア運営の手法と技術的能力の両方を絶えずアップデートし、他の脅威アクターたちに利益をもたらしてくれるような使いやすいマルウェア商品を提供し続けています。
LockBitの攻撃手法
LockBitのランサムウェアオペレーションは、多くの場合、アプリの脆弱性を購入・使用したり、リモートデスクトッププロトコル(RDP)へのブルートフォースを行ったり、フィッシング攻撃を実施したりすることによって開始されます。こうした攻撃を実施するアクターらは、LockBitグループのフルタイムメンバーか、もしくは手っ取り早く金儲けをしたいと考えて一時的にグループに加わっているアフィリエイトのいずれかです。LockBitを使用するアクターたちは、自ら組織へのアクセスを獲得するだけでなく、他のアクターからアクセスを購入することもあります。
LockBitのランサムウェアは、PowerShell Empireを使って実行されることが多いです。これに加え、Cobalt StrikeやPsExecといった、被害者のネットワーク内でのラテラルムーブメントを可能にする他のマルウェアも利用されます。LockBitはその後、あらゆるログファイルやシャドウコピーを消去し、最終的にローカルに保存されているデータと、関連ネットワーク上の遠隔のデバイスに保存されているデータを暗号化します。
LockBitによる攻撃の3つのステージ
LockBitの攻撃の中心となるのは、主に以下の3つのステップです。
・初期アクセス
・ラテラルムーブメントと権限昇格
・ランサムウェアペイロードの展開
初期アクセス
LockBitはよく、フィッシングのようなソーシャルエンジニアリング戦術を利用してユーザーの認証情報にアクセスしたり、組織のネットワークへの侵入の糸口を掴んだりします。このほかにもいくつか戦術は存在し、例えばブルートフォース攻撃を実施してユーザーの認証情報を特定し、盗んだパスワードを使ってネットワークへ侵入したり、脆弱性を悪用することで組織のネットワーク内に足場を得たりする場合もあります。
ラテラルムーブメントと権限昇格
初期アクセスを獲得したのち、攻撃者はそのネットワーク内での到達範囲を広げようとします。ここでの攻撃者の目標は、暗号化の対象となる機微なデータやシステムを発見すること、アクセス権限を昇格させること、そしてシステムに対する自らの支配力を強めることです。これが実現すれば、ネットワーク内をより自由に動き回ることができます。
また、LockBitのスクリプトは、標的組織が攻撃予防策あるいは復旧策として役立てるために導入しているセキュリティ対策やその他のインフラを無効化しようとも試みます。これにより、身代金を支払わずに攻撃から復旧するのをより困難にしようとするのです。
ランサムウェアペイロードの展開
標的ネットワーク上で攻撃の準備を整えると、LockBitのオペレーターは、ファイルやデータを暗号化して身代金を要求するためにランサムウェアを展開します。
LockBitランサムウェアは、単独で拡散するという能力の面でずば抜けています。というのも、他のランサムウェア種を使う場合、複数のシステムへのアクセスを得るために攻撃者は密かに、かつ長い期間にわたって標的組織のネットワーク内に潜伏する必要があります。しかしLockBitランサムウェアを使う場合、攻撃者は手動で1つのシステムユニットを標的にすることができ、このユニットからその他のアクセス可能なユニットへと感染を広げ、そこでスクリプトを走らせたりファイルを暗号化したりすることが可能です。
Lockbitの亜種
拡張子「.abcd」を用いるオリジナルのマルウェア以後、LockBitは複数の亜種を世に放ってきました。これらはそれぞれ、「LockBit」、「LockBit 2.0」、「LockBit 3.0」、「LockBit Green」と呼ばれています。2021年8月にYouTubeチャンネル「Russian OSINT」が行ったインタビューにおいてLockBitが語ったところによると、バージョンを経るにつれ、標的組織のサイバーセキュリティ対策によって攻撃が緩和されるのを防ぐために暗号化スピードを進化させているとのことです。
LockBit
LockBitは、同グループが用いていたオリジナルの拡張子「.abcd」の後を継いだ最初の亜種です。.abcdからLockBitへのシフトチェンジがいつ行われたのか正確なところは不明ですが、LockBitはオリジナル版と非常によく似ていました。この亜種は、5分以内に暗号化プロセスを配備できるという性能によって悪名を馳せました。
暗号化に向けたLockBitの自動アプローチは、「LockerGoga」や「MegaCortex」と似た形で機能します。LockBitは、WindowsのPowerShellやServer Message Blockといったツールを利用し、マルウェアの拡散に役立てます。
LockBit 2.0
2022年2月4日、FBIは第2の亜種「LockBit 2.0」の出現に関するフラッシュレポートをリリースしました。このレポートによると、同亜種が初めて登場したのは2021年7月だったとされています。LockBit 2.0がオリジナルのLockBit亜種から進化した点の1つはスピードで、検出回避のために文字列やコードのデコードをより素早く行えるようになりました。この亜種によって管理者権限が確立されると、暗号化プロセスが開始されます。
これに加え、LockBit 2.0はActive Directoryのグループポリシーの悪用およびMicrosoft Defenderの無効化によってWindowsのドメインを自動的に暗号化する性能も有しているほか、「StealBit」というアプリケーションの作成も行います。StealBitはカスタムコンフィギュレーションで、ビット演算を利用した攻撃の最中に、特定のファイルタイプを狙い撃ちにするために使われます。
2021年10月、LockBit 2.0は、LinuxホストとESXiサーバーを攻撃するための派生版マルウェア「Linux-ESXI Locker Version 1.0」の導入を発表しました。LockBit 2.0に取り入れられたこのLinux向けツールは、パラメータの受信や情報のロギングのほか、ESXiサーバー上でホストされているVMwareイメージの暗号化を実施することができます。
LockBit 3.0
2022年6月後半に登場したLockBit 3.0も、セキュリティ製品による検出を回避するために暗号化スピードを加速させるという傾向を受け継いでいます。LockBit 3.0の初期のサンプルを入手した研究者Arda Büyükkaya氏は、この亜種がアンチ解析技術を使用し、パスワードのみを用いた暗号化を行い、またコマンドライン引数を採用していることを報告しています。
さらに、LockBit 3.0は記録にある限りではランサムウェア史上初のバグバウンティプログラムを採用しており、ユーザーやセキュリティ研究者に対し、バグをLockBitグループへ報告するよう呼びかけています。報告者には、見返りとして1,000米ドルから100万米ドルの報奨金が授与されることになっています。このようなプログラムを行う意図は、人々をそそのかし、LockBitが利用できそうな脆弱性についての情報に加え、今後どのように進化していくべきかに関するアイディアをも提供させることにあります。LockBitは、以下のようなカテゴリのバグに関心を抱いています。
・暗号化ツール(ロッカー)のバグ
・Torネットワークの脆弱性
・Toxメッセンジャーの脆弱性
・Webサイトのバグ
LockBit Green
「LockBit Green」は、LockBitグループがリリースした中でも特に新しいランサムウェア亜種の1つです。この亜種の存在は、2023年1月27日に研究者団体のVX-Undergroundによって明らかにされました。同団体がこの日ソーシャルメディア上に公開した投稿には、LockBitから受け取ったものとみられるスクリーンショットが掲載されています。LockBit Greenはどうやら、Windows環境を狙うスタンダードな亜種のようです。
Flashpointは、LockBit Greenのリリース後、すぐにそのサンプルを入手しました。このサンプルは、「Conti」ランサムウェアと共通するコードを多数有していたことから、VirusTotalでの検出ではContiのサンプルとして報告されました。例えば、両者のコマンドラインオプションは同一です。
Mac版Lockbit
2023年5月、FlashpointはLockBitがmacOS版のランサムウェアの開発を開始したことを発見しました。
Flashpointが調査したところ、このmacOSバージョンはmacOSデバイス上では容易に実行できないものであることが判明しました。
同亜種のバイナリは、Linux/ESXi版LockBitが、ELFバイナリではなくMach-Oバイナリとしてコンパイルされただけのものであるとみられます。というのも、この亜種が実行するコマンドのいくつかはmacOSで利用できないようなものだからです。同ランサムウェアの復号されたバージョン番号を見ると、この亜種はLockBitのマルウェア「Linux/ESXi locker」のバージョン1.2であると思われます。
同亜種は現段階ではさほどの脅威とはなっていませんが、macOS向けバイナリが存在しているということは、LockBitグループがmacOSを含むWindows以外のOSを標的にするためのツールの開発を試しているであろうことを示唆しています。
LockBitによる攻撃を予防しましょう
2021年8月21日に行われた「Russian OSINT」のインタビューの中で、LockBitが自ら、フルタイムのレッドチームサービスを採用したり、ソーシャルエンジニアリングを予防すべく全従業員を教育したり、最高品質のアンチランサムウェアソフトウェアやアンチウイルスソフトウェアを実装したりすることで、企業は同グループから標的にされるリスクを軽減できると述べました。
ランサムウェアが進化を続ける一方で、「基本的な」サイバー防衛策を施すことは、ほとんどの場合最もインパクトの強い対策になり得ます。まだその準備が整っていない場合は、以下のような基本的な予防手順の実施を優先しましょう。
・パッチ管理
・ネットワークセグメンテーション
・最小特権アクセス
・強力なパスワードと多要素認証の要求
・従業員の教育
・定期的なシステムのバックアップ
LockBitの将来
LockBitは、最も盛んに活動しているランサムウェアグループとしての地位を保ち続けていますが、ランサムウェアランドスケープの変化により、グループの成長が常に良い結果につながるとは限らないということが判明する場合もあります。例えば最近、法執行機関が国際的にランサムウェアグループを厳しく取り締まることに全力を注いだことで、複数の主要なグループが解体されました。
ランサムウェアの経済圏も同様に打撃を受けており、被害者側が身代金の要求に応じるのを嫌がるケースが増えていることを含め、さまざまな要因でランサムウェアの収益は減少しています。
LockBitも自身の運営において、いくつかのちょっとしたトラブルを抱えてきました。まず、2022年9月にLockBitの開発者がLockBit3.0のコードを流出させました。12月には、LockBitのアフィリエイトがカナダにある小児科の病院に対し攻撃を実行しましたが、同グループはすぐに無料の復号ツールを提供し、攻撃実施者であるメンバーをLockBitのオペレーションから排除したことを伝える声明を出すという対応を行いました。
また先月には、LockBitのアソシエイトとされる者が、複数の国の組織に対してLockBitランサムウェアによる攻撃を展開した罪に問われました。FBIはランサムウェアのアクターを追及する誓約を繰り返し、声明の一部で「我々は、人々および民間部門のパートナーを意図的に標的にする、こういった種類のランサムウェアキャンペーンを恒久的に解体することに全力を尽くす」と述べていました。
現時点で、依然としてLockBitランサムウェアの活動は盛ん且つ横行している状態です。組織は予防策を優先的に実施し、攻撃が生じた場合の対応策を用意しておく必要があります。
Flashpointでサイバーリスクを特定し対処しましょう
不法コミュニティにおける動向を見逃さず、新たに出現する脆弱性、セキュリティインシデント、およびランサムウェア攻撃を特定することで、ご自身の資産、利害関係者、そしてインフラを守りましょう。無料トライアルに登録し、Flashpointの豊富なコレクションのプラットフォーム、ディープウェブにおけるやりとり、作動中のダークウェブ監視ツールをご確認ください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。