Lockbit 2.0 ランサムウェア急上昇 2022年3月8日Minervaのブログから
LockBit 2.0のOnionウエブサイトによると、このハッカーグループは、既に100社を超える企業に攻撃しています。
Lockbitとは?
Lockbitグループは、ランサムウェアアズアサービス(RaaS)でマルウェアの開発、ダークウェブ上などでマルウェアの闇取引をしています。このグループは、他のハッカーグループまたは個人などへランサムウェアを拡散することにより、多くの感染を広げることに成功しています。
このグループは、2020年の初期にアフィリエイトプログラムを展開しました。昨年、2021年の夏には、新種のペイロードを追加し、マルウェアが高度化しています。最も大きな変化としては、二重の脅迫機能を実装することにより多くの企業組織に対し、更なる脅威を与えています。
FBIが最近リリースしているレポートでは、彼らはターゲットを絞った組織に対し内通者を探し出し攻撃の手引きをさせて、攻撃に成功した暁には内通者に報酬を約束しているようです。
Lockbitの現在
LockBit2.0は攻撃を絞った相手に対し、StealBit、Cobalt Strike及びMetasploitなど、複合攻撃手法でデータを窃取し、ランサムの支払いを拒否すると、データを公開すると脅します。
LockBit 2.0は的を絞ったターゲットのネットワーク侵入及びファイル窃取を実現するために協力者(共謀者)を募って攻撃を開始します。協力者はフィッシング攻撃、脆弱性のアプリ又はRDP(リモートデスクトップ)アカウントへブルートフォース攻撃などのマルウェアを利用し、初期攻撃を開始します。
Lockbitの検知回避手法
LockBitグループは、セキュリティ製品に検知と分析から免れるためにいくつかの回避手法を用います。以下はマルウェアの回避手法です。
1. バイナリーの難読化
2. FNVハッシュアルゴリズムを使用するAPI暗号化とダイナミック解決
3. デバッガースレッドから隠蔽されている複合スレッドの実行
図1 - 隠されたスレッド生成
システム侵入に成功すると、LockBitはネットワーク構造を認識するためにスキャナーを使用し、攻撃目標のドメインコントローラーを探します。また複数のバッチファイルを使用し、プロセス、サービスやセキュリティツールを無効化してしまいます。
図2 - LockBit に終了させられた復号プロセスリスト
図3 - LockBit に終了させられた復号サービスリスト
彼らは侵入したデバイスのホスト名、ホスト設定、ドメイン情報、ローカルドライブ設定、リモート共有や外付けストレージデバイスなどを特定して情報収集を行います。最終的にシャドウコピーも削除し、自給自足型攻撃手法を用いて攻撃の足掛かりを作ります。他のロシアベースのランサムウェアオペレーションとは異なり、LockBit 2.0はシステムとユーザ言語を決定し、攻撃対象が東欧諸国の13言語の一つに該当すると攻撃対象外と設定しているようです。
2021年10月以降、このグループはLinuxホストであるESXiサーバへ攻撃を拡張してきています。
MinervaはLockbit 2.0から先制防御
MinervaはLockbitのマルウェアが検知回避を試みても、マルウェアの実行を阻止します。Lockbitは数々の回避テクニックで通常のセキュリティ製品では素通りされてしまうことがありますが、Minervaはマルウェアが行動する前に阻止します。
Minerva製品(Minerva Armor)についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。