LockBit ランサムウェアとは何か？

LockBit ランサムウェアは、感染したコンピューター上のファイルを暗号化し、攻撃者が復号キーと引き換えに身代金の支払いを要求できるようにするサイバー攻撃 の一種です。LockBit ランサムウェアは、当初「ABCD ランサムウェア」と呼ばれており、遅くとも 2020 年 1 月には活動を開始しています。LockBit を開発したサイバー犯罪者は、Ransomware as a Service（サービスとしてのランサムウェア、RaaS）として LockBit を提供しており、アフィリエイトにこのマルウェアを使用してランサムウェア攻撃を実行させ、身代金収益の一部を獲得します。

LockBit は、2022 年に世界で最も蔓延したランサムウェアの形態であり、2024 年までに被害者は 2,000 を超え、集めた身代金の金額は 1 億 2,000 万ドル以上に達しています。LockBit のオペレーションは、米国、カナダ、インド、ブラジル、その他多くの国のヘルスケア、教育、金融、政府、テクノロジー、自動車、小売など、複数の業界にわたる組織や企業を標的としています。（出典）

2024 年 2 月、法執行機関は LockBit ランサムウェアグループに関係しているロシア人 2 人を起訴し、LockBit 犯罪組織に関連がある多数の Web サイトを押収しました。これにより、脅威アクターがこのマルウェア を使用してファイルを暗号化し、被害者を脅迫することはできなくなりました。しかし、解体から数日以内に、LockBit グループはサーバーを復元し、ソフトウェアを再稼働させることに成功しています。 

LockBit ランサムウェアは、さまざまな技術や戦術を使用してシステムにアクセスし、ファイルを暗号化します。

• 感染。LockBit ランサムウェアは、フィッシングメールを通じて、ソフトウェアの脆弱性を悪用したり、窃取した認証情報を使用して VPN や Remote Desktop Protocol（リモート・デスクトップ・プロトコル、RDP）、その他の侵入ポイントからシステムにアクセスしたりすることで、IT 環境への初期アクセスを達成します。また、LockBit グループは不満を抱いているインサイダーを取り込もうとします。こういったインサイダーは報酬を受け取り、アカウント認証情報を提供したり、ネットワーク内部から攻撃を仕掛けたりします。
• 伝播。LockBit グループは、アクセスを取得した後、Windows PowerShell や PsExec などのツールとラテラルムーブメント（横方向の移動）技術を使用してネットワークを調査し、価値の高い標的を特定します。また、LockBit には自己伝播機能があり、攻撃者による介入を必要とすることなく、自ら拡散して IT 環境内のアクセス可能な他のホストを見つけます。
• 準備。LockBit マルウェアは、ポスト・エクスプロイト・ツールを使用してアカウント権限を取得し、グループのポリシー更新を強制的に実行して、さまざまな操作を実行してから、ファイルを暗号化します。これらの操作には、被害者によるデータ回復を可能にするセキュリティプログラムやツールの無効化が含まれます。この段階の目的は、身代金を支払わずに被害者がデータに再びアクセスすることを不可能にする、または阻止することです。
• 窃取。LockBit の後期の形態は、標的となるファイルを外部サーバーに窃取するように設計されており、これによりハッカーは漏えいサイトで機微な情報を公開すると脅して、被害者を脅迫することができます。
• 暗号化。準備が完了すると、ランサムウェアのペイロードがファイルを暗号化し、復号キーがないと被害者がファイルにアクセスできないようにします。また、このソフトウェアは、すべてのシステムフォルダーに身代金要求メモのコピーを残します。LockBit ランサムウェアは、さまざまな技術と戦術を駆使してシステムにアクセスし、ファイルを暗号化します。
• 二重脅迫。LockBit ランサムウェアの後期の形態では、データ窃取用のツールが提供されており、LockBit のオペレーターがファイルへのアクセスを回復するための身代金と、窃取されたデータがダーク Web 上の Tor サイトで流出しないようにするための身代金を要求する、二重脅迫を行うことが可能になっています。

LockBit ランサムウェアウイルスは、数年で急速に進化を遂げています。LockBit コードを使用したランサムウェアは、2019 年に初めて観測されました。このソフトウェアの初期バージョンでは、ファイル名の変更に「.ABCD」というファイル拡張子が使用されていました。

• 2020 年 1 月：「LockBit」を拡張子として使用するランサムウェアの亜種が、ロシア語のサイバー犯罪フォーラムで初めて確認されました。
• 2021 年 6 月：「StealBit」と呼ばれる情報窃取用のツールが組み込まれた LockBit バージョン 2（LockBit 2.0）が出現しました。
• 2021 年 10 月：LockBit 1.0 の Linux-ESXi Locker バージョンでは、ランサムウェアの機能が拡張され、Linux と VMware ESXi システムが標的に加えられました。
• 2022 年 3 月：LockBit 3.0（別名 LockBit Black）が、Black Matter と ALPHV または BlackCat ランサムウェアと類似点を持つ新しい亜種として出現しました。
• 2023 年 1 月：LockBit Green 亜種に、Conti ランサムウェアのソースコードが組み込まれました。
• 2023 年 4 月：VirusTotal で、macOS を標的とした LockBit ランサムウェア暗号化ツールが確認されました。

LockBit ランサムウェアや他の形態のランサムウェアから防御するために、法執行機関や FBI、CISA などのサイバーセキュリティ組織は、企業にいくつかのベストプラクティスを採用することを推奨しています。

• 多層防御。ランサムウェアに対する防御には、ウイルス対策とランサムウェア対策のソフトウェア、エンドポイント検知応答（EDR）ツールのほか、ユーザーがソーシャルエンジニアリング攻撃やフィッシング攻撃を認識できるように支援するセキュリティ意識向上トレーニングが含まれます。セキュリティ部門は、ランサムウェア除去ツールを使用してシステムの LockBit コードを消去することもできます。
• ネットワークセグメンテーション。ネットワークと個々の資産をセグメント化することで、LockBit ランサムウェアや攻撃者が初期アクセスを取得した後、システムを横方向に移動する能力を低下させます。
• 強力なアクセス制御。多要素認証（MFA） と強力なパスワードを使用することで、攻撃者がアカウントに対して不正な許可を取得できないようにします。
• 定期的なバックアップ。ファイルを定期的にバックアップし、重要なデータのコピーをオフラインのバックアップに保存している組織は、身代金を支払うことなく復旧を達成できる可能性があります。
• 脆弱性管理。ソフトウェアやオペレーティングシステムの定期的な更新とパッチ適用は、攻撃者が悪用する可能性のある脆弱性を修正するために不可欠です。これは、Server Message Block（SMB）プロトコルや RDP を使用する Microsoft Windows や Linux などのソフトウェアにとって特に重要です。
• 継続的な監視。高度な脅威検知ツールを使用し、堅牢なインシデント対応計画を導入することで、LockBit ランサムウェア攻撃を迅速に特定し、損害を最小限に抑え、迅速に復旧することができます。