LockBit の強さを解析:あらゆる地域と業界でアフィリエイトを介して攻撃を成功させる

LockBit Remains Top Global Ransomware Threat

2023/12/06 InfoSecurity — LockBit ランサムウェアは、世界のすべての地域における大半の業界に対する、主要なデジタル恐喝の脅威であり続けていると、ZeroFox のレポートは主張している。2022年1月〜2023年9月の分析において研究者たちは、世界の R&DE (Ransomware and Digital Extortion) 攻撃の 25% 以上で、LockBit が利用されてきたことを、研究者たちは指摘している。そこには、同期間中に欧州で発生した全 R&DE 攻撃の30% および、北米で発生した 25% が含まれる。

その一方で ZeroFox は、全体的な攻撃において LockBit の占める割合は減少傾向にあると述べている。つまり、RaaS (Ransomware-as-a-Service) の提供と普及により、脅威アクターたちの参入障壁が低下し、R&DE の多様化が進んでいるためだと考えられる。

北米における Lockbit の傾向

これまでの LockBit 攻撃では、欧州などの地域と比較して北米ではデプロイメントが不十分であったと、研究者たちは指摘している。その一方で、LockBit の約 40% の被害者は北米を拠点としていたが、その数値は増加傾向にあり、2023年末までに 50% に達すると予想されている。

2022年1月〜2023年9月において、北米で最も頻繁に LockBit の標的となった業種は、製造業/建設業/小売業/法律/コンサルティング/ヘルスケアなどである。その一方で、2022年 Q1 の欧州における R&DE 攻撃では、LockBit が 43.41% を占めていたが、2023年 Q3 では 28.48% に減少している。

Lockbit の侵入ベクター

LockBit のオペレータは多岐にわたる。したがって、ペイロードを展開するために、さまざまな侵入手法が用いられている。

確認された主な手法は、以下のとおりである:

  • インターネットに面したアプリケーションの悪用:主として、リモートコード実行や権限昇格の脆弱性が用いられた。

  • フィッシング:LockBit のアフィリエイトは、被害者のネットワークにアクセスするために、履歴書や著作権関連通知などを装う、悪意の文書や電子メールを介して、さまざまなフィッシングの手口を利用してきた。

  • 外部リモートサービス:攻撃者は、クレデンシャル・ハーベスティングなどで不正に入手した正規のユーザー認証情報を利用して、外部向けのリモート・サービスにアクセスしてきた。

  • 脆弱性の悪用による侵害:多くのケースにおいて、ユーザーの Web ブラウザが標的とされた。

  • 有効なアカウント:脅威アクターたちは。認証情報を頻繁に漏洩させてきた。それにより、アクセス制御の回避/永続性の確立/権限の昇格/検知の回避を達成してきた。

ZeroFox は、「R&DE 攻撃に占める LockBit の割合は減少してきたが、あらゆるロケーションにおける大半の業界に対して、最大の脅威の1つであり続けると予想している」と述べている。

さらに同社は、「LockBit のアフィリエイトは、プロフェッショナル・サービス/教育セクター/金融セクターの組織などに焦点を移している。なぜなら、身代金を支払う可能性が高いと思われるからだ」とも指摘している。

LockBit の台頭

2019年9月に発見された LockBit ランサムウェアは、RaaS プロバイダーとして機能してきた。このランサムウェアが、脅威アクターたちの人気を得ているのは、侵害のスピードが迅速であること、そして、侵害したネットワークで自己していくワーム的な機能に理由がある。

今年に注目を集めた Royal Mail/Boeing/ICBC (中国工商銀) などへの攻撃においても、このランサムウェアが背後にいると推定されている。2023年6月に Acronis が発表したレポートによると、LockBit は 2023年1月〜5月の総被害者数において、最も活発なランサムウェアであったという。

今年に猛威を振るったランサムウェアとしては、やはり Lockbit が一番だったようです。MOVEit 攻撃を成功させた Clop も、なかなかのものだと思っていましたが、それでも Lockbit には及ばなかったようです。最近の Lockbit は、Citrix Bleed 悪用も成功させて、大手の企業を陥落させ続けているようです。その背景には、この記事で指摘されているように、強力なアフィリエイト・ネットワークがあるのでしょう。今年の初めの 2023/01/30 に、「サイバー犯罪組織の求人広告:開発者 61%/攻撃者 16%/設計者 10% という分布」という記事を訳しましたが、そこでは、開発者と攻撃スペシャリストが高額の報酬を得ていると説明されていました。