LockBit 3.0 Builder が流出:不満を持つ開発者の裏切りがもたらす大きな影響とは?

LockBit ransomware builder leaked online by “angry developer”

2022/09/21 BleepingComputer — ランサムウェア LockBit だが、不満を持つ開発者とされる人物から、最新の暗号化ソフトのビルドが流出されるという裏切り行為を受けているようだ。この6月に、LockBit ランサムウェアは、2ヶ月間にわたるテストの後に、コードネーム LockBit Black と呼ばれる暗号化装置の Ver 3.0 をリリースした。この新バージョンは、「ランサムウェアを再び偉大なものにする」ことを約束し、新しいアンチ解析機能や、ランサムウェアのバグバウンティ・プログラム、新たな強奪方法などを追加している。しかし、2人 (あるいは同一人物) の不満分子が、Twitter で LockBit 3.0 Builder を流出させるなど、LockBit の運営者は厄介な情報漏洩に見舞われているようだ。

Twitter で流出した LockBit 3.0 Builder

セキュリティ研究者である 3xp0rt によると、新たに登録された Twitter ユーザー Ali Qushji は、彼らのチームが LockBit のサーバをハッキングし、ランサムウェア暗号化ツール LockBit 3.0 の Builder を発見したと述べているそうだ。


流出したとされる LockBit 3.0 Builder に関するツイートを、3xp0rt が共有した後の 9月10日に、VX-Underground は protonleaks というユーザーから連絡を受け、この Builder のコピーを共有したと伝えた。

しかし、VX-Underground によると、LockBit の運営者とされる LockBitSupp は、ハッキングされたのではなく、不満を持つ開発者がプライベート・ランサムウェア・ビルダーをリークしたと主張しているという。

VX-Underground は、「この件に関して、Lockbit ランサムウェア・グループに連絡を取ったところ、このリーク者は Lockbit ランサムウェア・グループに雇われているプログラマーであることが判明した」とツイートで共有したが、そのメッセージは、すでに削除されている。

彼らは、Lockbit のリーダーに腹を立て、Builder をリークした。

BleepingComputer は、複数のセキュリティ研究者に話を聞き、この Builder が正当なものであることを確認した。

この Builder があれば誰でもランサムウェア・ギャングになれる

非公開のランサムウェア・ビルダーが流出した経緯はともかく、このことは LockBit にとって大きな痛手であるだけではなく、これを利用した独自の攻撃を仕掛ける脅威アクターが増加すると予想されるため、ユーザー企業にとっても歓迎できない事態となる。

流出した LockBit 3.0 Builder は、暗号化器/復号器を含む専用ツールなどの、独自の作戦を開始するために必要な実行ファイルを、誰もが素早く構築できるようにするものだ。

この Builder の構成は、暗号化キー・ジェネレーター/ビルダー/変更可能なコンフィチュール・ファイルと、それら全てのファイルを構築するバッチ・ファイルの、4つのファイルで成り立っている。

LockBit 3.0 builder
LockBit 3.0 builder files
Source: BleepingComputer

同梱される [config.json] は、ランサムノートの修正/コンフィグレーション・オプションの変更/終了のプロセスやサービスの決定/暗号化ツールがデータを送信する C2 サーバの指定といった、暗号化ツールのカスタマイズのために使用される。

コンフィグレーション・ファイルを変更することで、あらゆる脅威アクターのニーズに合わせたカスタマイズが可能となり、自動作成される身代金メモを、自分たちのインフラにリンクさせるよう変更できる。

LockBit 3.0 configuration file
LockBit 3.0 configuration file
Source: BleepingComputer

バッチ・ファイルを実行すると、この Builder は以下に示すように、ランサムウェア・キャンペーンを成功させるために必要な、すべてのファイルを作成する。

Ransomware executables created by the LockBit 3.0 builder
Ransomware executables created by the LockBit 3.0 builder
Source: BleepingComputer

BleepingComputer は、流出したランサムウェアの Builder をテストし、以下のように独自のローカル C2 サーバを使用し、ファイルを暗号化し、それらを復号化するようにカスタマイズできた。

Demonstration of the build LockBit 3.0 decryptor
Demonstration of the built LockBit 3.0 decryptor
Source: BleepingComputer

このランサムウェアの Builder やソースコードがネット上に流出し、独自に活動を開始する他の脅威アクターによる攻撃増加につながったのは、LockBit が初めてのことではない。

2021年6月には、Windows や VMware ESXi 用の暗号化器/復号器を簡単に作成できる、ランサムウェア・ビルダー Babuk が流出し、他の脅威アクターの攻撃に利用された。

また、2022年3月には、Conti ランサムウェアがデータ漏洩に見舞われ、そのソースコードがネット上に流出した。このソースコードは、ハッキンググループ NB65 により直ちに再利用され、ロシアへのランサムウェア攻撃で使用された。

LockBit の運営に不満を持つ開発者が、LockBit 3.0 Builder を流出させたとのことです。このランサムウェア・ギャングが混乱することは喜ぶべきことですが、流出した LockBit 3.0 Builder を利用する、他のランサムウェア・ギャングが登場するのは時間の問題です。Conti の話ですが、文中にもあるように、2021年9月2日の「Conti PlayBook 英訳版:ランサムウェアの手口が明らかに」や、2022年3月21日の「ウクライナの研究者の反撃:Conti の最新ソースコードが新たにリークされる」というインシデントも起こっています。因果関係は不明ですが、たくさんのランサムウェア・ギャングの台頭を考えると、Conti のナレッジが広まっているとも考えられます。

%d bloggers like this: