ランサムウェア「LockBit」を操るサイバー犯罪者グループが新たに「LockBit 2.0」として再び活動を活発化させていることをご存じですか？
今回の攻撃活動における標的となる企業の数は以前よりも増加し、「Ryuk」や「Egregor」といった暴露型ランサムウェアファミリの影響を受けたと見られる二重脅迫の手口が組み込まれているといわれています。
そしてトレンドマイクロによれば、既に日本国内でもLockBitランサムウェアによる被害の実態を複数確認しており、今後の拡大が懸念されています。

今回はLocBitとは何か、またLockBit 2.0を使用する新たなランサムウェア攻撃について、トレンドマイクロ セキュリティブログより紹介します。

図1：ランサムウェアLockBitの検出台数推移（トレンドマイクロ調べ）

 

おさらい：LockBitとは

LockBitとは、「.LockBit」拡張子に暗号化するランサムウェアのことです。ファイルの暗号化＆データ窃取を行い、身代金を支払わない場合に詐取したデータを流出させるという二重脅迫の手口を用いた暴露型ランサムウェアの特徴を示しています。

そしてこのランサムウェアは少しだけ面白い特徴を持っています。
「Armenian,Azerbaijani,Belarusian,Georgian,Kazakh,Kyrgyz,Russian,Taijik,Turkmen,Ukrainian,Uzbek」の言語設定をしていると感染しても暗号化されないのです。
想像の範囲ですが、この地域のどこかに犯罪者グルーブの活動拠点があるように思えます。

 

LockBit 2.0とは

ランサムウェアLockBitを操るサイバー犯罪者グループ（単純化のため以降「LockBitグループ」と記述）は、2020年1月前後にロシア語アンダーグラウンドフォーラム上に登場したことが確認されているサイバー犯罪者グループです。LockBitグループは2021年6月、彼らのランサムウェアサービス（RaaS）を「LockBit 2.0」に更新し新たな宣伝活動を始めました。（そもそも、RaaS：Ransomware as a Serviceなどあっていいのかという疑問も湧きますが）
トレンドマイクロでは2021年7月1日から8月15日にかけて、チリ、イタリア、台湾、英国などで「LockBit 2.0」に関連する攻撃活動の試みを検知しています。
今回の攻撃活動に対処するためには、「組織やユーザは利用システムを更新し、多層防御メカニズムを有効化すること」が推奨されます。

図2：LockBit 2.0の影響を受けた国の分布図（2021年7月1日～8月15日　トレンドマイクロ製品の検知結果に基づく）

 

敵を知る：LockBit 2.0の不正活動および新機能

LockBit 2.0では、Active Directory（AD）のグループポリシーを悪用することでWindowsドメイン全体のPC端末を自動的に暗号化する機能が含まれています。
LockBitグループは、今日の市場において彼らの利用するLockBit 2.0が最速の暗号化機能を誇るランサムウェアの1つであると主張しています。
このグループは、LockBit 2.0が今日のランサムウェアの脅威動向において最速かつ最も効率的な暗号化方式の1つを備えていることに誇りを持っているようです。
トレンドマイクロの分析によると、暗号化にはマルチスレッド・アプローチが用いられていますが、ファイルごとに暗号化されるデータは4KBしかないため、ファイルは部分的にしか暗号化されていないことが明らかとなりました。

図３：LockBit 2.0が用いる感染チェーン

LockBit 2.0の背後にいるグループは、他の「ランサムウェアサービス（Ransomware as a Service、RaaS）」と同様に、標的への侵入活動やデータ流出を実行するアフィリエイトを募集すると共に、自動的にデータを流出させることができるツール「StealBit」を提供することで、アフィリエイトの不正活動を支援しています。
さらに攻撃者は、有効なリモート・デスクトップ・プロトコル（RDP）アカウントを悪用し、被害者のシステムにアクセスすることも可能としています。

また「豪州サイバーセキュリティセンター（ACSC）」の報告では、侵入時にVPNなどネットワーク製品の脆弱性を利用する事例についての記述がありますが、同様に国内においてもトレンドマイクロのインシデント対応チームに相談のあったお客様において、実際にVPN装置が侵入の起点となっていた事例が確認されています。

さらにこのグループは攻撃活動の一環として、攻撃対象となる企業の内部者に対して新たな「アフィリエイト（パートナー）」を募集する広告キャンペーンを実施していたことも報じられています。このキャンペーンは他の攻撃者グループなどの中間者を排除し、企業ネットワークの内部から攻撃を実行させることで、より迅速な攻撃活動を可能にしようとしていると見られています。

LockBit 2.0はシステム内に侵入すると、ネットワークスキャナを使用してネットワーク構造を識別し、標的となるドメインコントローラを見つけ出します。
そしてLockBit 2.0は、プロセスやサービス、セキュリティツールを終了させるために、複数のバッチファイルを使用します。
また、感染端末上でリモートデスクトップ接続を有効化するためのバッチファイルも存在します。

以下にLockBit 2.0の円滑な実行を保証するとされるツールとコンポーネントを示します。

• delsvc.batは、MySQLやQuickBooksなどの重要なプロセスを使用できないようにします。さらにMicrosoft Exchangeを停止させて、その他の関連サービスを無効化します。
• AV.batは、ウイルス対策製品「ESET」をアンインストールします。
• LogDelete.batは、Windowsのイベントログを消去します。
• Defoff.batは、リアルタイム保護などのWindows Defender機能を無効化します。

さらにLockBit 2.0は、Process HackerやPC Hunterなどの正規ツールを悪用して、被害者のシステム内で動作するプロセスやサービスを終了させていくのです。

LockBit 2.0はドメインコントローラ内に侵入すると、新たなグループポリシーを作成してネットワーク上のすべてのPC端末に送信します。これらのポリシーは、Windows Defenderを無効化したのち、LockBit 2.0のバイナリを各Windows端末へと配布し実行します。

トレンドマイクロでは、暗号化されたすべてのファイルに拡張子「.lockbit」を付加する今回の攻撃活動の目的となるランサムウェアモジュール「LockBIT_7D68A5BFD028A31F.exe」を発見しました。LockBit 2.0は、感染端末の暗号化が完了すると、暗号化されたすべてのディレクトリ内に身代金の要求メッセージ（ランサムノート）「Restore-My-Files.txt」を作成します。このランサムノートには身代金を支払わない場合、ファイルの暗号化だけでなく被害者の重要なデータが特定のWebサイト上で公開される危険性があることが明記されています。（図4）

図4：暗号化されたすべてのディレクトリ内に作成されたLockBit 2.0のランサムノート

さらにLockBit 2.0は感染端末のデスクトップ用壁紙を、被害者が身代金を支払う方法や組織の内部犯行候補者がLockBit 2.0の背後にいるグループの「アフィリエイト募集」に参加する方法を説明する画像（図5）に変更します。
このグループはアフィリエイトに対して、認証情報やアクセス権と引き換えに「数百万ドル（数億円）」の支払いと匿名性を保証していますが、信用してはいけません。

図5：デスクトップ用壁紙として使用されたLockBit 2.0のランサムノート

 

LockBit 2.0に見られる他のランサムウェアからの影響

LockBitグループは過去にランサムウェア「Maze」を操る「ランサムウェアカルテル」と協働していました。
また、現在の拡張子「.lockbit」にアップデートする前に暗号化されたファイルに付加していた拡張子から、以前は「ABCD」ランサムウェアとも呼称されていました。
しかし、Mazeカルテルの活動終了が発表された後、LockBitグループは独自の暴露サイトの構築を進め、2019年9月にランサムウェア「LockBit」を開発するに至りました。

以前のバージョン（2019年）は、二重脅迫の手口を用いた暴露型ランサムウェアでしたが、2年後となる2021年に発見されたLockBit 2.0では、その動作において、RyukやEgregorから受けたと見られる影響や類似性が確認されました。

例えば、Wake-on-LAN機能は、Ryukからヒントを得たと考えられるもので、マジックパケット「0xFF 0xFF 0xFF 0xFF 0xFF」を送信して同じネットワーク上に存在するオフラインのPC端末を起動させます。

図6：PC端末にマジックパケットを送信するための不正コード

ランサムノートの内容を感染端末に接続されたネットワークプリンタ上で印刷して被害者の注意を引く手法はEgregorのものと類似しています。
WinspoolのAPIを使用して、接続されたプリンタ上にランサムノートを列挙して印刷します。（図7）

図7：接続されたプリンタが列挙されている様子

図8：プリンタを使用してランサムノートを印刷するためのWritePrinter API

まとめ

LockBitグループは、2021年8月にコンサルティング大手のアクセンチュアの防御を無事に破ったという発表を発表しています。詳細な被害状況の説明は割愛しますが、大規模な被害により注目を集めたことは間違いありません。
この事象が示すように、法人組織がこのランサムウェア攻撃に注意を払う必要があることは言うまでもありません。特にLockBit 2.0が備える高速な暗号化機能が厄介と言えます。
トレンドマイクロでは、このグループの攻撃活動が長期間にわたって脅威となると推測しています。
特に現在もアフィリエイトや内部犯行候補者を募集して、多くの企業や業界に感染させる能力を高めている点が懸念されます。
その為には多くの企業がLockBit 2.0の機能や仕組みを認識し、LockBit 2.0の更新版やさらなる高度化を想定しつつ、事前に対策を講じることが賢明と言えるでしょう。

 

LockBit 2.0の被害に遭わないためには

では、どのようにすればLockBit 2.0の脅威を回避することができるのでしょうか？

LockBit 2.0が持つ活動持続化、拡散活動の速さ、侵入方法などを考慮すると、LockBit 2.0は被害者に大きな金銭的・風評的損害を与える可能性があります。
今回は参考として、米国の非営利団体「Center of Internet Security」および「米国標準技術研究所（NIST）」が策定したフレームワークから、組織がLockBit 2.0のようなランサムウェアを含むサイバー攻撃を防ぎ、その影響被害を軽減するためのベストプラクティスをいくつか紹介します。

• 監査と棚卸：
  組織が所有するすべての資産およびデータの棚卸を作成し、特定のシステムへのアクセスを許可する、あるいは不許可とするPC端末、ソフトウェア、人員を特定すること。イベントやインシデントのログをすべて監査・監視し、異常なパターンや行動を特定すること。
• 設定および監視：
  ハードウェアやソフトウェアの設定を意図的に管理し、絶対に必要な場合にのみ特定の担当者に管理者権限やアクセス権を付与すること。ネットワークのポート、プロトコル、およびサービスの使用状況を監視すること。ファイアウォールやルータなどのネットワークインフラ機器にセキュリティ設定を実施し、悪意のあるアプリケーションの実行を防ぐためにソフトウェアの許可リストを作成すること。
• 最新のパッチおよびアップデートの適用：
  定期的に脆弱性評価を実行し、OSやアプリケーションに対して最新のパッチまたは仮想パッチを適用すること。インストールされているソフトウェアやアプリケーションがすべて最新版に更新されていることを確認すること。
• 保護と復旧 データの保護、バックアップ、およびリカバリの実施：
  同様に使用するすべてのPC端末やプラットフォームに、可能な限り多要素認証を導入すること。
• 安全と防御：
  サンドボックス分析を行い、悪質な電子メールを調査してブロックすること。電子メール、エンドポイント、ウェブ、ネットワークなど、システムの全レイヤーに最新のセキュリティソリューションを導入すること。システム内の不審なツールの存在など、攻撃の初期兆候を発見し、人工知能（AI）や機械学習を搭載したものなど、高度な検知技術を有効化すること。
• トレーニングやテストの実施：
  セキュリティスキルの評価と全担当者へのトレーニングを定期的に行い、レッドチームによる演習やペネトレーションテストを実施すること。

インフラ側のセキュリティ設定はもちろんのこと、Web上の仮想環境でサンドボックスを展開するような”外部からの情報をそのまま端末に読み込まない”為の最新セキュリティシステムを採用することが、脅威回避には最も効果的と考えられますが、そこにはそれ相当ののコストが必要になることの覚悟が必要です。

事故が起きないとその重大さに気が付けないのがセキュリティの難しいところでもあります。

 

---

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/28572