US Government Warns Organizations of LockBit 3.0 Ransomware Attacks
2023/03/17 SecurityWeek — 今週に、FBI/CISA/MS-ISAC は共同で、ランサムウェア LockBit 3.0 のオペレーションに関するアラートを発表した。LockBit は2020年1月以降において、Ransomware-as-a-Service (RaaS) モデルをベースに活動し、広範囲におよぶ企業や重要インフラ事業体をターゲットに、さまざまな TTP (Tactics, Techniques, and Procedures) を用いてきた。
LockBit Black とも呼ばれる LockBit 3.0 は、以前の亜種と比較してモジュール化が進んだアーキテクチャを持ち、導入後に動作を変更するための、さまざまな引数をサポートしている。
LockBit 3.0 のインストーラーは、分析/検出を妨げるために暗号化されており、パスワードが提供された場合にのみ実行できると、FBI/CISA/MS-ISAC の共同アドバイザリで説明されている。
また、このマルウェアは、横移動のための特定の論拠をサポートし、セーフモードでのシステムを再起動が可能だという。さらに、アラビア語 (シリア) /ルーマニア語 (モルドバ) /タタール語 (ロシア) などの、特定の言語設定を使用しているシステムへの感染を避けるために、実行時に言語チェックを行うようだ。
観測された LockBit 3.0 攻撃では、RDP (Remote Desktop Protocol) の侵害/ドライブバイ攻撃/フィッシング/漏洩した認証情報/公開アプリケーションの脆弱性の悪用などにより、イニシャル・アクセスが取得されていた。侵入に成功したマルウェアは、権限昇格の試行/システム情報の収集/特定のプロセスやサービスの終了/コマンドの起動/自動ログオンの有効化と持続化に加えて、ログ/リサイクル・ファイルや、システム・ボリューム情報コピーなどの削除を実行する。
このランサムウェアは、ハードコードされた認証情報のリストを用いてネットワーク内を横方向へと移動し、グループ・ポリシー・オブジェクトと PsExec を介して、SMB (Server Message Block) プロトコル上で拡散することも可能だ。
LockBit 3.0 は、ローカル/リモートのデバイス上の全てのファイルを暗号化し、身代金メモを投下し、壁紙とアイコンを自社のブランドのものに変更する。また、プロセスが完了した後に、このマルウェアはマシンから自身を削除することもあるという。
観測された攻撃の一環として、LockBit 3.0 のオペレーターは、Stealbit というオープンソースのカスタムツール/コマンドライン・クラウド・マネージャー/パブリック・ファイル共有サービスを使用して、機密データを流出させていた。
また、ネットワーク偵察/リモート・アクセス/データ流出/クレデンシャル・ダンプのために、多数のフリーウェアやオープンソースのツールが攻撃に使用されることもある。PowerShell やバッチスクリプト、Metasploit/Cobalt Strike などのインプラントも確認されている。
ランサムウェアに関連するリスクを軽減するためには、復旧計画の採用/全てのアカウントでの強力なパスワードの使用/フィッシングに強い多要素認証の導入/全てのシステムとアプリケーションの更新/ネットワークの細分化の実施/ネットワーク上の異常活動の確認/全てのデータのバックアップ作成/未使用ポートおよびサービスの無効化/ユーザーアカウントの監査/最新のセキュリティ・ソリューションの導入および維持などの、ベストセキュリティ・プラクティスを実施することが推奨される。
ついに、FBI/CISA/MS-ISAC が共同勧告を出すにいたった、ランサムウェア LockBit 3.0 ですが、今年に入ってからのハデな立ち回りとしては、SpaceX へのサプライチェーン攻撃や、英 Royal Mail への脅迫などがあります。
2023/03/14:SpaceX の機密データが LockBit に盗まれた
2023/02/15:LockBit 対 Royal Mail:身代金交渉
2023/02/07:英 Royal Mail 攻撃:LockBit 犯行を主張
2023/01/13:英 Royal Mail の国際郵便が止まった
IoT OT Security News 
You must be logged in to post a comment.