New LockBit Variant Exploits Self-Spreading Features
2024/04/15 InfoSecurity — 先日に西アフリカで発生したインシデントにより、LockBit ランサムウェアがもたらす執拗な脅威が、再び注目を集めている。このサイバー犯罪者たちは、盗み出した Admin の認証情報で武装した上で、自己増殖機能を備えた暗号化マルウェアの、カスタマイズされた亜種を展開した。彼らは特権アクセスを悪用して企業のインフラに侵入し、過去に流出した LockBit 3.0 Builder がもたらす、継続的なリスクを実証した。
Kaspersky の Incident Response Specialist である Cristian Souza は、「LockBit 3.0 Builder は、2022 年に漏洩しているが、いまでも攻撃者たちは、それを積極的に利用し、カスタマイズされたバージョンを作成している。高度なプログラミング・スキルも不要である。最近の事例が示すように、このような柔軟性により、敵対者は攻撃の効果を高める機会を得ている。企業における、クレデンシャル漏えいの頻度がエスカレートしていることを考えると、この種の攻撃は、さらに危険なものとなっていく」と述べている。
Kaspersky の最新レポートが浮き彫りにするのは、このインシデントに見られるように、ネットワーク内で自律的に拡散していく高度なランサムウェアを、攻撃者たちが作成しているという懸念すべき傾向である。同社が特定したマルウェアの亜種の特徴は、システム管理者へのなりすましや、ネットワーク全体への自己拡散といった、これまでにない動きにある。
高度に特権化されたドメイン認証情報を活用することで、このランサムウェアはセキュリティ対策を OFF にするだけではなく、ネットワーク共有の暗号化や、イベントログの消去などを行い、自らの行動を隠蔽することを可能にしている。感染した各ホストは、さらなる感染の媒介となり、被害者のネットワーク内での影響を増幅させる。
カスタムなコンフィグ・ファイルにより、このマルウェアは特定のネットワーク環境に適応し、その有効性と回避性を高めることを可能にする。この柔軟性は、リークした Builder の使いやすさと相まって、サイバー・セキュリティの専門家にとって大きな課題を突きつけている。
また、Kaspersky の調査では、SessionGopher スクリプトを悪用する攻撃者が、感染したシステムに保存されるパスワードを抽出していることも明らかになった。さまざまな業界や地域で、高度な機能を欠くインシデントが観察されているが、攻撃の地理的範囲は拡大している可能性がある。
最近になって、国際的な法執行機関が実施した LockBit ランサムウェア・グループの摘発は、このような脅威と闘うために必要な協調だと、Kaspersky は強調している。
ランサムウェア攻撃を軽減するために、Kaspersky が推奨するのは、頻繁なバックアップの実施/堅牢なセキュリティ・ソリューションの導入/従業員への定期的なサイバーセキュリティ・トレーニングの実施などである。
LockBit が止まったのか、止まっていないのかは、なかなかハッキリしないところがありますが、このような亜種の活動が、活発になってきているようです。文中にある、”さらなる感染の媒介となり” という部分が気になりますね。このグループに関する直近の記事は、2024/02/28 の「LockBit ランサムウェアが復活:新たな暗号化機能で攻撃を再開している」となっています。よろしければ、LockBit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.