LockBit Green という亜種：Conti ベースの暗号化システムが使用されている

LockBit ransomware goes ‘Green,’ uses new Conti-based encryptor

2023/02/02 BleepingComputer — LockBit ランサムウェア・ギャングは、他のオペレーションが開発した暗号化システムを使い始めている。今回に流出したのは、Conti ランサムウェアが使用していた暗号化システムの、ソースコードをベースにしたものに切り替わっている。LockBit が登場したときはカスタム暗号から始まったが、BlackMatter ギャングのソースコードに由来する LockBit 3.0 (別名 LockBit Black) へと、暗号化システムを切り替えていた。

今週にサイバー・セキュリティ集団である VX-Underground が、すでに解散している Conti ランサムウェアから流出したソースコードを基に、LockBit Green いう名の新たな暗号化システムが使用されていると報告した。

Conti とは、昨年に 17万件の内部メッセージと、暗号化システムのソースコードを流出し、閉鎖されたランサムウェア・ギャングである。

このソースコードの流出直後から、さまざまなハッキング・グループによる流用が始まり、それぞれの暗号化ツールが作成されていったが、その中には皮肉にも、ロシア企業への攻撃で使用されたものもあった。

LockBit Green の概要

LockBit Green のニュースが公開され直後から、VirusTotal などのマルウェア共有サイトにおいて、この新しい暗号化ソフトのサンプルが出回っていることを、研究者たちが確認している。

CyberGeeksTech として知られるマルウェア・アナリストは、LockBit Green のサンプルをリバース・エンジニアリングし、以前に分析していた Conti 暗号化ツールがベースであることに間違いないと判断している。

彼は、「サンプルを分析したが、それは Conti のソースコードに 100% 基づいている。 復号化アルゴリズムが似ているのは、ほんの一例である。彼らが、Conti ベースのペイロード構築を選択したことは奇妙である。彼らは、しばらくの間、独自の暗号化システムを使っていた」と、BleepingComputer に語っている。

サイバー・セキュリティ企業である PRODAFT も、彼らが発見した４種類の LockBit Green サンプルの MD5 ハッシュを共有したが、そこには、新しい亜種を検出するための Yara ルールも含まれている。PRODAFT は BleepingComputer に対して、新しい LockBit Green の亜種により攻撃を受けた、少なくとも５件の被害者を確認していると述べている。

BleepingComputer においても、PRODAFT が共有したサンプルの１つをテストしたが、以前の Conti encryptor と同じコマンドライン引数が使用されていた。ただし身代金請求書は、以下のように、Contiのフォーマットではなく、LockBit 3.0の身代金請求書を使用するよう変更されている。

しかし、私たちが気づいた変更点として挙げられるのは、LockBit Green では標準の “.lockbit” 拡張子ではなく、ランダムな拡張子と思われるものが使用していることだ。

Lockbit のオペレーションでは、以前のものが問題なく動作するはずなのに、なぜ新しい Conti ベースの暗号化システムを利用しているのかが不明だが、その答えは PRODAFT が持っているのかもしれない。

PRODAFT は、「私たちの発表後のことだが、元 Conti メンバーが Lockbit Green を好んで使用していることを確認した。おそらく、彼らは、Conti ベースのランサムウェアを使うことに安心感を覚えているのだろう」と BleepingComputer に語っている。

LockBit Black が Green になり、Conti ベースの暗号化システムが採用されたとのことですが、なんとなく分かりにくい展開です。2023/01/30 の「サイバー犯罪組織の求人広告：開発者 61%／攻撃者 16%／設計者 10% という分布」を見ると、開発者と攻撃の専門家が、かなりの平均給与を得ていることが分かります。こうした職種の人々の発言権が強いのかと推測できますが、それにより Green という亜種が登場したのでしょうかね？