Security Vendors Sound the Alarm on LockBit Ransomware’s Return
2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。
この数日における、複数のセキュリティ・ベンダーからの報告によると、過去数ヶ月の間に REvil や DarkSide などの大手ランサムウェアの撤退で生じた空白を狙った、LockBit に関連する活動が急増しているとのことだ。その中でも特に注目されているのが、先週発生した大手コンサルティング会社 Accenture への攻撃であり、数 TB のデータが盗まれ、$50 million の身代金が要求されたと言われている。
今週に Trend Micro 発表したレポートによると、7月1日〜8月15日の間に、英国/イタリア/台湾/チリなどの組織をターゲットにした、LockBit を使った攻撃の試みが観察されている。このランサムウェアの新バージョン LockBit 2.0 は、Active Directory (AD) のグループ・ポリシーを利用して、Windows ドメイン内のデバイスを自動的に暗号化することなどを特徴としている。この戦術により、LockBit は市場に出回っているランサムウェアの中で、最も高速なランサムウェアの1つとなっている。
Trend Micro が実施した LockBit 2.0 の分析結果によると、このマルウェアはマルチスレッドを使用して、影響下に取り込んだシステムのファイルを暗号化する。また、1ファイルあたりで4K Bytes のデータしか暗号化しないという。LockBit 2.0 の運営者は、Ransomware-as-a-Service (RaaS) のプロバイダーとして、このマルウェアを使用する脅威アクターたちに、データを自動的に流出させるための StealBit と呼ばれるツールも提供している。他の多くのランサムウェアと同様に、暗号化の任務遂行を妨げる可能性のあるセキュリティ・ツール/サービス/プロセスを探して終了させるよう、LockBit は設計されていると、Trend Micro は述べている。
同社の VP of Threat Intelligence である Jon Clay は、「LockBit ギャングは、攻撃キャンペーンを成功させるために TTP を更新し続けている」と述べている。LockBit ギャングは、いくつかのグループが撤退したことを受けて、活動を活発化させた可能性もあるが、単に再開する準備をしていたという可能性もある。Jon Clay によると、このグループは独自に活動するだけではなく、特定の組織をターゲットにするために、専門知識を持つアフィリエイトを募集しているという。
Palo Alto Networks Unit 42 の Threat Intelligence Analyst である Doel Santos によると、LockBit 2.0 を開発したグループは、このマルウェアは 100 GBytes のデータを、わずか 4分28秒で暗号化すると主張しているようだ。たとえば、Conti / REvil / Ryuk などの、広く配布されている他のランサムウェアの系統が、同じ結果を得るために必要とする時間の半分以下であると、Doel Santos は述べている。
2021年6月に、このグループが LockBit 2.0 を発表して以来、米国/英国/アルゼンチン/オーストラリア/オーストリア/マレーシア/ドイツ/イタリアなどの国々で、複数の組織を狙った攻撃に使用されている。最近の LockBit 攻撃では、機密データを盗んだ後に、そのデータを公開するという脅しをかけて、被害者から金銭を搾取するという、二重恐喝 (Double-extortion) が多発している。Doel Santos によると、LockBit のリークサイトには、現時点で 52件の被害者が掲載されているが、ランサムウェアのリーダーである Cl0p の現数に遠く及ばないとのことだ。
マーケティング・キャンペーン
LockBit の運営者は、このランサムウェアのスピードを宣伝し、また、資金獲得のミッションに協力する人々には、ターゲットとなる組織の個人を含めて、高額の報酬を提供するというマーケティング・キャンペーンを開始した。Doel Santos は、「LockBit は、壁紙をインストールすることで感染した PC を証明し、マシンへのアクセス権を提供する代わりに、数百万ドルの身代金を山分けにするという、という魅力的なオファーをしている。これは間違いなく大胆なアプローチである。私が見た中で、このような戦略をとる最初のグループが LockBit だ。他のランサムウェアが追随するかどうか、興味深いところである」と述べている。
スイスに拠点を置く脅威情報企業 Prodaft は、この6月に発表したレポートで、「LockBit が関与した攻撃を調査した結果、このランサムウェア運営者は新たな標的を見つけるために複数の方法を用いている」と述べている。これらの手法には、大量の脆弱性スキャンや、クレデンシャル・スタッフィング、フィッシング攻撃などが含まれる。しかし、最も一般的な手口は、RDP クレデンシャルや、以前に侵害されたサーバーにアクセスする方法を、アンダーグラウンド・フォーラムから購入することだ。このレポートには、「この種の認証情報は、$5 という低価格で購入できるため、要求される身代金の額を考えると、アフィリエイトにとって極めて有利な条件になる」と記されている。
Unit 42 の Doel Santos は。「2019年9月に活動を開始した LockBit だが、当初は ABCD ランサムウェアとして知られていた・この名前は、ファイルを暗号化するために使用した拡張子に由来していた。そして、時間の経過とともに、他のランサムウェアと同様に、私たちが知っている LockBit にリブランディングされた」と述べている。最近になって LockBit の活動が増大していることは、セキュリティベンダーである Symantec からも報告されている。この増加は、REvil (別名Sodinokibi) と呼ばれるランサムウェア運営者の退場に伴い、アフィリエイト・グループが LockBit に乗り換えたことにも関係すると指摘している。Symantec の研究者たちは、REvil/Sodinokibi を使用していたギャングの中で、少なくとも1人が LockBit に切り替えたことを示す、証拠を確認したと述べている。
LockBit を利用するアフィリエイトは、このマルウェアを展開するために多様な戦術と技術を採用している。その中には、Windows Defender の無効化や、感染したネットワークのスキャン、感染したシステムからの認証情報の窃取、システム内での横移動、システム上で実行されるサービスの情報の取得ツールの使用などが含まれる。Symantec は、「これらの攻撃者が使用する、多数のパスワード・ダンプ・ツールにより、認証情報の取得が攻撃チェーンの重要部分であることが示される」と述べている。
最近のランサムウェアの動向を見ていると、LockBit の動きが活発になっています。6月にポストした「LockBit ランサムウェアがアフェリエイトを募集しているそうだ」には、彼らのユーザーに対して、行うべき唯一のことは、コアサーバーへのアクセスを取得することであり、残りの全ては LockBit 2.0 が対応すると述べているようです。また、つい先日には「Accenture が LockBit 2.0 ランサムウェアに攻撃される」という、具体的な攻撃に関する報道もありました。猛威をふるいそうな展開なので、心配です。
IoT OT Security News 