LockBitランサムウェア：対策のために知っておくべきこと

多様なランサムウェアの脅威環境において、LockBitは依然として組織にとって最大の脅威の一つであり続けている。2023年上半期には、 他のどのランサムウェアファミリーよりも多くのLockBit攻撃が成功している、および BlackCat そして Clop 2位と3位にランクインした。

LockBitは2023年を通じて、世界有数の企業や政府機関への侵入に成功し続けた。例えば10月には、LockBitグループが 責任をとった カナダ政府における個人情報漏洩事件について、政府高官の個人情報を含む1.5テラバイト分のアーカイブ文書が盗まれたと報じられている。その他の著名な被害者には、 ボーイング、その 中国工商銀行の米国法人 (中国最大の銀行)、および 英国国防省.

NAKIVOで身代金要求に"ノー"を

ランサムウェア攻撃後の迅速なデータ復旧には、バックアップを活用してください。多彩な復旧オプション、改ざん防止機能を備えたローカルおよびクラウドストレージ、復旧の自動化機能などを備えています。

ソリューションを見る

LockBitランサムウェアとは？

LockBitは、同名の犯罪グループによって開発された二重恐喝型ランサムウェアの一種であり、 2019年にさかのぼる最初のLockBit攻撃. LockBitグループは、ランサムウェア・アズ・ア・サービス(RaaS)モデルに基づき、受け取った身代金からの利益の一部を対価として、アフィリエイトにランサムウェアを開発・提供している。採用されたアフィリエイトは、このランサムウェアを使用して攻撃を行う。LockBitはデータを盗み出すため、これは"二重恐喝型ランサムウェア"と見なされており、 その後、サイバー攻撃者はこのデータをリークサイトに公開すると脅迫する.

LockBitランサムウェアの変遷

LockBitランサムウェアは、最初に特定されて以来、何度かバージョンアップを重ねてきました。 ABCD ランサムウェアは、進化するにつれてますます巧妙化しています。LockBitは、保護されたネットワークに侵入し、検知されずに潜伏し続けるよう、絶えず改良が加えられています。攻撃者は、セキュリティシステムを積極的に調査して脆弱性を探し出し、ソーシャルエンジニアリングやその他の手法を用いて攻撃を確実に成功させようとします。

これまでの変遷を見てみましょう:

ABCD

ABCD は、LockBitグループによるランサムウェアの初期バージョンであり、2019年9月に初めて検出された。この名称は、 .abcd 暗号化後にファイルに追加される拡張子。このランサムウェアのバージョンでは、さらに""という名前のメモ帳ファイルも生成されました。 Restore-My-Files.txt 暗号化されたデータが含まれる各フォルダ内に。このファイルには、身代金の支払い方法とデータの復元手順が記載されています。

LockBit

LockBit 1.0、あるいは単にLockBitと呼ばれるこのランサムウェアは、同シリーズの第2世代にあたり、以下の機能が追加されています。 .LockBit 暗号化されたファイルの拡張子として .abcd. 今回のバージョンは、前のバージョンとそれほど変わらない。 ABCD デザインと実装の面ではほぼ同じです。バックエンドのコードにはわずかな変更しか加えられていません。

LockBit 2.0

2021年6月に初めてその活動が確認されたLockBit 2.0は、改変・更新を経て、より深刻な脅威へと進化しました。このバージョンでは、データの暗号化にAES(Advanced Encryption Standard)およびECC(楕円曲線暗号)アルゴリズムが利用されています。 攻撃者は、多くの組織のITチームが一般的に使用しているツールを悪用し、悪意のあるコードを実行してシステム全体に拡散させます。バージョン2.0では、ハッカーはWindows Management Instrumentation(WMI)コマンド、SMBプロトコル接続、およびPowerShellツールを使用しました。

LockBit 2.0はオフラインでも動作し、感染後はマシンがネットワークに接続されているかどうかにかかわらず、暗号化が継続されます。さらに、LockBit 2.0には、 TOR ブラウザを通じて、サイバー犯罪者が自身の攻撃状況を把握できるようにする。

LockBit 3.0(別名:LockBit Black)

LockBit Black あるいは、LockBit 3.0は2022年6月にリリースされた次期バージョンである。このバージョンは、以前のバージョンよりもさらに検知を回避しやすく、モジュール化が進んでおり、ペイロードのコンパイルおよび実行時に使用できるカスタマイズ可能なオプションが追加されている。その動作は LockBit Black 実行後に追加の引数を指定して、さらに変更を加えることができます。さらに、このバージョンには、他のランサムウェアの機能も組み込まれています。 Blackcat そして Blackmatter.

LockBit 3.0のアフィリエイトは、ランサムウェアを実行する(つまり、暗号鍵を使用して実行ファイルを復号する)ために正しいパスワードを入力する必要があります。このレベルの保護により、LockBit 3.0はマルウェアスキャナーを欺き、コードの分析を阻止することができます。

実行ファイルの暗号化された構成要素は変化するため、シグネチャベースの検出原理を採用するアンチウイルスやアンチマルウェアソリューションでは、LockBit 3.0の実行ファイルコンポーネントを検出することは困難です。 このコンポーネントは、暗号化に暗号鍵を使用すると同時に、一意のハッシュを生成します。攻撃者が正しいパスワード(つまり正しい復号鍵)を入力すると、LockBit 3.0の主要部分が復号されます。その後、コードが復号および解凍され、ランサムウェアのさらなる実行が可能になります。

LockBit Green

LockBit Green2023年1月に公開されたこのバージョンは、クラウドベースのサービスを標的とするよう特別に改変された、LockBitの5番目のバージョンである。この世代は、以前のバージョンとは外観や機能セットが一新されている。しかし、 LockBit Green かつて別のロッカー型ランサムウェアに属していたコードの一部が含まれている Conti(現在は利用できません)。

LockBitランサムウェアのファイル拡張子

侵入とデータの暗号化に成功した後、LockBitは元のファイルの拡張子を以下のいずれかに変更します:

• .abcd (前世代 ABCD (ランサムウェア)
• .lockbit (LockBit および LockBit 2.0)
• ランダムな9文字の文字列(LockBit 3.0および LockBit Green)

LockBitランサムウェア攻撃の主な段階

LockBitランサムウェアの攻撃は、通常、以下の3つの段階を経て進行します:

1. 侵害。 攻撃者は、フィッシングメールを送信したり、経営幹部の身分を偽って管理者権限を取得したり、内部ノードやネットワークに対して総当たり攻撃を仕掛けたりするなど、さまざまな手法を用いて組織のセキュリティ境界を突破します。また、リモートデスクトッププロトコルや対外向けアプリケーションの脆弱性を悪用する攻撃も活発に行われています。

   攻撃者が組織のネットワークにLockBitを侵入させると、ランサムウェア攻撃の今後の拡散範囲と被害を拡大させるための準備段階が完了する。ネットワークが単純でセグメント化されていない組織では、侵害への対応時間が大幅に短縮される。

2. 浸透。 LockBitのコードが攻撃に参加し始めます。これ以降、スクリプトがすべての処理を実行し、権限昇格の手法を用いて必要なアクセス権を取得します。その後、ランサムウェアは内部のセキュリティファイアウォールやマルウェア検知・通知ソリューションを無効化し、破壊行為を行う余地を広げるとともに、セキュリティチームの監視の目を逃れるようにします。

   このランサムウェアの主な目的は、可能な限り多くのデータを標的にすることで、被害を拡大させ、被害者が独自にデータを復旧できないようにすることです。

   この段階において、Lockbitランサムウェアは必要なアクセス権限を取得するために、以下の操作を行う可能性があります:

   • サービスおよびプロセスの終了
   • コマンドの実行
   • ログファイルの削除

   LockBit 3.0 は、コンポーネント・オブジェクト・モデル(COM)を利用して、管理者権限で悪意のあるコードを実行することで、Windows のユーザーアカウント制御(UAC)を回避することができます。例えば、次のような場合です:

   %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

   Lockbitは、Windows Management Instrumentation(WMI)を使用してシャドウコピーを削除します。まず、このランサムウェアはシャドウコピーを照会して特定します:

   select * from Win32_ShadowCopy

   その後、ランサムウェアはシャドウコピーを削除します。 DeleteInstance.

   LockBitランサムウェアによって、以下の名前のサービスが強制終了されます: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD そして GxCIMgr.

   以下のプロセスが強制終了されます: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad そして notepad.

   プロセスを終了させた後、それらのプロセスによって開かれていたファイルは、変更または削除される可能性があります。

3. 展開。 この段階は、攻撃者が組織のインフラが十分に弱体化したと判断し、暗号化の実行を開始する際に始まります。その後、必要な権限を持つ侵害されたシステムノードが、ネットワーク内の他のワークロードに対し、マルウェアコードのダウンロードと実行を指示します。

   LockBitの攻撃者は、StealBitを使用して、データが暗号化される前に重要なデータを外部へ持ち出すことができます。データ漏洩のリスクは、LockBitランサムウェア攻撃のもう一つの特徴と言えます。

   その後、Reach上のノードのデータが暗号化され、LockBitは .txt 各フォルダに支払い指示が記載されたファイル。一般的なファイル名の形式は .txt ファイルは RansomwareID.README.txt.

LockBitの最も懸念される特徴の一つは、自己拡散機能です。これにより、攻撃者の作業が簡素化され、攻撃全体が加速されます。組織の環境への管理者権限を取得した後、ハッカーはランサムウェアを起動するだけでよく、あとはコードが自動的に動作し、LockBitの実行ファイルを他の到達可能なホストに配信します。

暗号化されたファイルの復号化は、ハッカーの要求に従い、LockBitの開発者から専用のツールを受け取った後にのみ可能となります。前述の通り、要求に従うもう一つの理由は、機密情報や個人データが公に流出するのを防ぐためです。

LockBit感染の兆候

Lockbitランサムウェアは、グループポリシーの編集や更新を担当する値を含め、レジストリの値を変更します。LockBitによる変更後にグループポリシーを更新するコマンドは次のとおりです:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

レジストリ内の兆候のうち、Lockbitへの感染を示唆するものには次のようなものがあります:

• ランサムウェアのアイコン:

  HKCR.

  HKCRDefaultIcon

  その値に関連付けられた C:ProgramData.ico

• ランサムウェアのデスクトップ壁紙:

  HKCUControlPanelDesktopWallPaper

  の値で C:ProgramData.bmp

• Windowsの自動ログオンを有効にするには:

  SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon 適切な値で

  AutoAdminLogon 1

  DefaultUserName

  DefaultDomainName

ランサムウェアがファイルを配置する場所を覚えておいてください:

• ADMIN$TempLockBit3.0_Filename.exe
• %SystemRoot%TempLockBit3.0_Filename.exe
• Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (ドメイン コントローラー上で)

LockBitの脅威からデータを保護する方法

ランサムウェアからシステムを守る また、マルウェア全般には、主に2つの側面があります:

1. 感染防止策、つまり感染を未然に防ごうとする取り組み
2. データ保護戦略:身代金を支払うことなく、データ損失とダウンタイムを最小限に抑えてインシデントから復旧する

これらについて、それぞれ詳しく見ていきましょう。

セキュリティ対策

• OS、ソフトウェア、およびファームウェアを定期的に更新してください 古いコンポーネントには脆弱性が存在する場合があり、ハッカーがそれを悪用してインフラにランサムウェアを仕込む恐れがあります。開発者は、顧客を保護するために、こうしたバックドアやセキュリティ上の弱点が明らかになると、速やかに修正パッチを適用する傾向にあります。
• ネットワークのセグメンテーションを適用する ～へ 組織のネットワークを設定する 個別の区画に分割する。セグメント化されたネットワークを初めてスキャンする侵入者は、どのデータがどのセグメントにあるのかを知らない。そのため、ハッカーが偵察を行い、実際に侵入するには、はるかに多くの時間と労力を要する可能性がある。LockBitに関しては必ずしもそうではないようだが、他のバージョンのランサムウェアを使用するサイバー犯罪者の中には、セキュリティ対策が施されたセグメント化されたネットワークを持つ組織への攻撃を避ける者もいるかもしれない。
• 使用していないポートを無効にする ネットワーク上で。開いているポートは、悪意のある攻撃者が内部ノードへの不正アクセスや攻撃を行うために悪用できる、さらなる脆弱性となるだけです。
• ネットワークの動作異常を監視する ネットワークやノードに対するアクティブ監視ソリューションを活用することで、その時点での状況把握能力を大幅に向上させることができます。アクティブ監視は、徹底的なテストを可能にし、ネットワーク帯域幅のボトルネックが発生した際にそれを解消するだけでなく、脆弱性を迅速に検出するのにも役立ちます。迅速な対応により、攻撃による被害を軽減したり、マルウェアの拡散を未然に防いだりすることが可能になります。
• リアルタイム脅威検知機能を備えたウイルス対策ソフトをご利用ください。 監視ソリューションとの共通点はあるものの、アンチウイルスソリューションでは、ネットワーク監視に加え、サーバーやワークステーションを含むデバイスの監視機能も利用できます。

  LockBitが巧妙でマルウェアスキャナーを欺くことができるのは事実ですが、ハッカーは攻撃の仕掛けや維持のために、それほどステルス性が高くない他のツールを使用することも可能です。有効なリアルタイムウイルス対策ソフトがあれば、組織の環境内で何か問題が発生した際に通知を受け取ることができます。

• フィッシング対策ソリューションを導入する LockBitのアフィリエイトが組織のセキュリティを侵害するために用いるソーシャルエンジニアリングの手口に対抗するためです。組織外からのメールに対して、メール内のハイパーリンクを無効化し、警告バナーを表示するように設定することで、不注意なチームメンバーがフィッシングリンクをクリックしてしまうリスクを軽減することができます。

データ保護戦略

LockBitは検知されずに侵入し、脅威監視ツールを欺くことができるため、実際にランサムウェア攻撃が発生した際に確実に復旧できるよう、第2の防衛ラインを整備しておく必要があります。インシデント対応計画には、データのバックアップおよび災害復旧戦略を盛り込むべきです。

データ保護計画を策定する。

• 重要なVMとアプリケーションを特定する。 ランサムウェア攻撃を受けた後もデータの損失を防ぎ、システムの稼働を維持し、コンプライアンスを確実に遵守するためには、バックアップとレプリケーションを活用してシステムを保護する必要があります。データ保護戦略の第一歩は、業務に不可欠なデータやシステムを把握することです。 事業継続. 次のステップは、各マシンの重要度を判断し、それに基づいてバックアップの頻度、保存期間ポリシー、および復旧目標を決定することです。
• ビジネスのRPOおよびRTOを定義してください。 重要なデータがどこに保存されているかを明確に把握することで、各種類の本番用マシンに対して適切なリカバリポイント目標(RPO)とリカバリ時間目標(RTO)を設定することができます。 RPOとRTO 御社が許容できるデータ損失およびシステム停止の最大範囲をご確認ください。
• データ保護のテストスケジュールを設定する。 定期的にバックアップを行い、 DR戦略の検証 また、各チームメンバーが復旧プロセスにおける自身の役割を確実に理解できるようにします。データが復旧不可能だと判明する最悪のタイミングは、元のデータがすでに失われたり暗号化されたりしてしまった後です。

"3-2-1-1"のバックアップルールに従ってください。

• できるだけ多くのデータのコピーを作成しておいてください。 マシンやアプリケーションの重要度に応じて、作成するバックアップの数と保存期間のポリシーを決定してください。復旧の可能性を最大限に高めるためには、"3-2-1"バックアップ戦略を適用してください。まず、常にデータのコピーを少なくとも3つ(3)用意します。つまり、本番データと2つのバックアップコピーです。次に、データを2種類(2)の異なるメディアに保存します。 第三に、本番サイトに災害が発生した場合でも確実に復旧できるよう、1つのコピーをオフサイトに保管してください。
• ランサムウェアからバックアップを保護する。 攻撃者は、本番環境のマシンと同様に、バックアップデータにとっても脅威となります。そのため、現在ではバックアップのルールが拡大され、不変のコピーが追加されるようになりました。不変性とは、"書き込みは一度、読み取りは複数回"というモデルを採用し、データの破損、暗号化、削除からデータを保護するものです。つまり、新たなランサムウェア攻撃によってこのデータが改ざんされることはなく、本番データにアクセスできなくなった場合でも、不変のコピーを使用して復旧を行うことができます。

NAKIVOのデータ保護ソリューションの利用

専用のデータ保護ソリューションを利用すれば、データ保護プロセスを自動化できるため、リソースの過剰な消費を防ぎ、データ保持期間の不備を未然に防ぐことができます。 NAKIVO Backup & Replication は、仮想、物理、クラウド、SaaSワークロード、およびハイブリッドインフラストラクチャに対応した包括的なデータ保護ソリューションです。 NAKIVOのソリューションを導入することで、VMware vSphere、Microsoft Hyper-V、Windows、Linux、Microsoft 365など、使用するプラットフォームを問わず、Webインターフェースを通じてデータ保護インフラストラクチャを完全に制御・可視化できます。

また、このソリューションは、不変性やバックアップデータの階層化を含め、"3-2-1-1ルール"を適用するために必要なすべての機能を提供します:

• クラウド(Amazon S3、Wasabi、Backblaze B2、およびその他のS3互換プラットフォーム)に送信されたバックアップの不変性、Linuxベースのローカルストレージ(NASデバイスを含む)
• ジョブチェインニングによるバックアップの自動化により、自動化されたワークフローを構築することで、オフサイトバックアップやテープバックアップを活用し、ストレージ環境を多様化できます
• 不正アクセスを防止するためのセキュリティ機能として、二要素認証(2FA)やロールベースのアクセス制御(RBAC)などを備えており、これらは"最小権限の原則(PoLP)"の適用を支援し、組織内での役割に応じてチームメンバーのアクセス権限を制限します
• 次のような統合型DR機能 リアルタイムレプリケーション そして サイト復旧 1秒というRPOや、極めて厳しいRTOの達成を支援します
• 包括的かつ詳細な復旧オプションにより、必要なデータを最短時間で正確に復旧できる柔軟性を提供します

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください