ランサムウェア
「LockBit 2.0」のランサムウェア攻撃が拡大中。日本にも被害を及ぼす攻撃活動を解説
「豪州サイバーセキュリティセンター」は2021年8月、ランサムウェア「LockBit」を操るサイバー犯罪者グループが新たに「LockBit 2.0」として再び活動を活発化させていることを報告しました。本記事では、このLockBit 2.0を使用する新たなランサムウェア攻撃についてトレンドマイクロの調査結果をまとめます。
「豪州サイバーセキュリティセンター(ACSC)」は2021年8月、ランサムウェア「LockBit」を操るサイバー犯罪者グループが新たに「LockBit 2.0」として再び活動を活発化させていることを報告しました。この報告では、今回の攻撃活動において標的となる企業の数が増加し、「Ryuk」や「Egregor」などの暴露型ランサムウェアファミリの影響を受けたと見られる二重脅迫の手口が組み込まれていることが示されています。本記事では、このLockBit 2.0を使用する新たなランサムウェア攻撃についてトレンドマイクロの調査結果をまとめます。トレンドマイクロでは既に日本国内でもLockBitランサムウェアによる被害を複数確認しており、今後の拡大が懸念されます。
■ LockBit 2.0とは
ランサムウェアLockBitを操るサイバー犯罪者グループ(単純化のため以降「LockBitグループ」と記述)は、2020年1月前後にロシア語アンダーグラウンドフォーラム上に登場したことが確認されているサイバー犯罪者グループです。LockBitグループは2021年6月、彼らのランサムウェアサービス(RaaS)を「LockBit 2.0」に更新し新たな宣伝活動を始めました。トレンドマイクロでは2021年7月1日から8月15日にかけて、チリ、イタリア、台湾、英国などで「LockBit 2.0」に関連する攻撃活動の試みを検知しました。今回の攻撃活動に対処するために組織やユーザは、利用システムを更新し、多層防御メカニズムを有効化することが推奨されます。
(2021年7月1日~8月15日 トレンドマイクロ製品の検知結果に基づく)
■ LockBit 2.0の不正活動およびアップデートされた機能
LockBit 2.0では、Active Directory(AD)のグループポリシーを悪用することでWindowsドメイン全体のPC端末を自動的に暗号化する機能が含まれています。LockBitグループは、今日の市場において彼らの利用するLockBit 2.0が最速の暗号化機能を誇るランサムウェアの1つであると主張しています。このグループは、LockBit 2.0が今日のランサムウェアの脅威動向において最速かつ最も効率的な暗号化方式の1つを備えていることに誇りを持っているようです。トレンドマイクロの分析によると、暗号化にはマルチスレッド・アプローチが用いられていますが、ファイルごとに暗号化されるデータは4KBしかないため、ファイルは部分的にしか暗号化されていないことが明らかとなりました。
LockBit 2.0の背後にいるグループは、他の「ランサムウェアサービス(Ransomware as a Service、RaaS)」と同様に、標的への侵入活動やデータ流出を実行するアフィリエイトを募集すると共に、自動的にデータを流出させることができるツール「StealBit」(トレンドマイクロ製品では「TrojanSpy.Win32.STEALBIT.YXBHM」として検出)を提供することで、アフィリエイトの不正活動を支援しています。さらに攻撃者は、有効なリモート・デスクトップ・プロトコル(RDP)アカウントを悪用して、被害者のシステムにアクセスすることもできます。また前出のACSCの報告では、侵入時にVPNなどネットワーク製品の脆弱性を利用する事例について記述がありますが、同様に国内でもトレンドマイクロのインシデント対応チームに相談のあったお客様において、実際にVPN装置が侵入の起点となっていた事例が確認されています。
さらにこのグループは攻撃活動の一環として、攻撃対象となる企業の内部者に対して新たな「アフィリエイト(パートナー)」を募集する広告キャンペーンを実施していたことも報じられています。このキャンペーンは他の攻撃者グループなどの中間者を排除し、企業ネットワークの内部から攻撃を実行させることで、より迅速な攻撃活動を可能にしようとしていると見られています。
LockBit 2.0はシステム内に侵入すると、ネットワークスキャナを使用してネットワーク構造を識別し、標的となるドメインコントローラを見つけ出します。そしてLockBit 2.0は、プロセスやサービス、セキュリティツールを終了させるために、複数のバッチファイルを使用します。また、感染端末上でリモートデスクトップ接続を有効化するためのバッチファイルも存在します。以下にLockBit 2.0の円滑な実行を保証するとされるツールとコンポーネントを示します。
- delsvc.bat(トレンドマイクロ製品では「Trojan.BAT.KILLPROC.D」として検出)は、MySQLやQuickBooksなどの重要なプロセスを使用できないようにします。さらにMicrosoft Exchangeを停止させて、その他の関連サービスを無効化します。
- AV.bat(トレンドマイクロ製品では「Trojan.BAT.KILLAV.WLDX」として検出)は、ウイルス対策製品「ESET」をアンインストールします。
- LogDelete.bat(トレンドマイクロ製品では「PUA.BAT.DHARMA.A」として検出)は、Windowsのイベントログを消去します。
- Defoff.bat(トレンドマイクロ製品では「Trojan.BAT.KILLAV.WLDX」として検出)は、リアルタイム保護などのWindows Defender機能を無効化します。
さらにLockBit 2.0は、Process HackerやPC Hunterなどの正規ツールを悪用して、被害者のシステム内で動作するプロセスやサービスを終了させます。
LockBit 2.0はドメインコントローラ内に侵入すると、新たなグループポリシーを作成してネットワーク上のすべてのPC端末に送信します。これらのポリシーは、Windows Defenderを無効化したのち、LockBit 2.0のバイナリを各Windows端末へと配布し実行します。
トレンドマイクロは、暗号化されたすべてのファイルに拡張子「.lockbit」を付加する今回の攻撃活動の目的となるランサムウェアモジュール「LockBIT_7D68A5BFD028A31F.exe(トレンドマイクロ製品では「Ransom.Win32.LOCKBIT.SMYEBGW」として検出))」を発見しました。LockBit 2.0は、感染端末の暗号化が完了すると、暗号化されたすべてのディレクトリ内に身代金の要求メッセージ(ランサムノート)「Restore-My-Files.txt」(トレンドマイクロ製品では、「Ransom.Win32.LOCKBIT.SMA.note」として検出)を作成します。このランサムノートには身代金を支払わない場合、ファイルの暗号化だけでなく被害者の重要なデータが特定のWebサイト上で公開される危険性があることが明記されています。(図3)
さらにLockBit 2.0は感染端末のデスクトップ用壁紙を、被害者が身代金を支払う方法や組織の内部犯行候補者がLockBit 2.0の背後にいるグループの「アフィリエイト募集」に参加する方法を説明する画像(図4)に変更します。このグループはアフィリエイトに対して、認証情報やアクセス権と引き換えに「数百万ドル(数億円)」の支払いと匿名性を保証していますが、信用してはいけません。
■ LockBit 2.0に見られる他のランサムウェアからの影響
LockBitグループは過去にランサムウェア「Maze」を操る「ランサムウェアカルテル」と協働していました。また、現在の拡張子「.lockbit」にアップデートする前に暗号化されたファイルに付加していた拡張子から、以前は「ABCD」ランサムウェアとも呼称されていました。しかし、Mazeカルテルの活動終了が発表された後、LockBitグループは独自の暴露サイトの構築を進め、2019年9月にランサムウェア「LockBit」を開発するに至りました。
以前のバージョン(2019年)では、ファイルを暗号化してデータを窃取し、身代金を支払わない場合に詐取したデータを流出させるという二重脅迫の手口を用いた暴露型ランサムウェアの特徴を示していました。2年後となる2021年に発見されたLockBit 2.0では、特定の注目すべき動作において、RyukやEgregorから受けたと見られる影響や類似性が確認されました。
Wake-on-LAN機能は、Ryukからヒントを得たと考えられるもので、マジックパケット「0xFF 0xFF 0xFF 0xFF 0xFF」を送信して同じネットワーク上に存在するオフラインのPC端末を起動させます。
図6:PC端末にマジックパケットを送信するための不正コード
ランサムノートの内容を感染端末に接続されたネットワークプリンタ上で印刷して被害者の注意を引く手法はEgregorのものと類似しています。WinspoolのAPIを使用して、接続されたプリンタ上にランサムノートを列挙して印刷します。(図7)
■ まとめ
LockBitグループは2021年8月に発生した総合コンサルティング会社での大規模な被害により注目を集めました。法人組織がこのランサムウェア攻撃に注意を払う必要があることは言うまでもありません。特にLockBit 2.0が備える高速な暗号化機能が厄介と言えます。トレンドマイクロでは、このグループの攻撃活動が長期間にわたって脅威となると推測しています。特に現在もアフィリエイトや内部犯行候補者を募集して、多くの企業や業界に感染させる能力を高めている点が懸念されます。本記事で解説したように多くの企業がLockBit 2.0の機能や仕組みを認識している今、LockBit 2.0の更新版やさらなる高度化を想定し、事前に対策を講じることが賢明と言えるでしょう。
■ LockBit 2.0の被害に遭わないためには
LockBit 2.0が持つ活動持続化、拡散活動の速さ、侵入方法などを考慮すると、LockBit 2.0は被害者に大きな金銭的・風評的損害を与える可能性があります。本記事では、米国の非営利団体「Center of Internet Security」および「米国標準技術研究所(NIST)」が策定したフレームワークから、組織がLockBit 2.0のようなランサムウェアを含むサイバー攻撃を防ぎ、その影響被害を軽減するためのベストプラクティスをいくつかご紹介します。
- 監査と棚卸:
組織が所有するすべての資産およびデータの棚卸を作成し、特定のシステムへのアクセスを許可する、あるいは不許可とするPC端末、ソフトウェア、人員を特定すること。イベントやインシデントのログをすべて監査・監視し、異常なパターンや行動を特定すること。 - 設定および監視:
ハードウェアやソフトウェアの設定を意図的に管理し、絶対に必要な場合にのみ特定の担当者に管理者権限やアクセス権を付与すること。ネットワークのポート、プロトコル、およびサービスの使用状況を監視すること。ファイアウォールやルータなどのネットワークインフラ機器にセキュリティ設定を実施し、悪意のあるアプリケーションの実行を防ぐためにソフトウェアの許可リストを作成すること。 - 最新のパッチおよびアップデートの適用:
定期的に脆弱性評価を実行し、OSやアプリケーションに対して最新のパッチまたは仮想パッチを適用すること。インストールされているソフトウェアやアプリケーションがすべて最新版に更新されていることを確認すること。 - 保護と復旧 データの保護、バックアップ、およびリカバリの実施:
同様に使用するすべてのPC端末やプラットフォームに、可能な限り多要素認証を導入すること。 - 安全と防御:
サンドボックス分析を行い、悪質な電子メールを調査してブロックすること。電子メール、エンドポイント、ウェブ、ネットワークなど、システムの全レイヤーに最新のセキュリティソリューションを導入すること。システム内の不審なツールの存在など、攻撃の初期兆候を発見し、人工知能(AI)や機械学習を搭載したものなど、高度な検知技術を有効化すること。 - トレーニングやテストの実施:
セキュリティスキルの評価と全担当者へのトレーニングを定期的に行い、レッドチームによる演習やペネトレーションテストを実施すること。
■ トレンドマイクロの対策
本記事で取り上げたLockBitランサムウェア攻撃に対するトレンドマイクロの対策については以下のサポートページにまとめていますので参照ください:
https://success.trendmicro.com/jp/solution/000288363 「LockBitランサムウェアに対するトレンドマイクロのソリューション」
組織は、悪意のあるコンポーネントの検出だけでなく、ネットワーク内の不審な動作を詳細に監視するために、システムの複数の層(エンドポイント、メール、ウェブ、ネットワーク)を包括するセキュリティソリューションの恩恵を受けることができます。
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。
また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro Hybrid Cloud Security」として提供されるセキュリティソリューションは、クラウドネイティブシステムとその多様なレイヤーを保護するのに役立ちます。ソリューションとして提供される製品群は継続的インテグレーションおよび継続的デリバリー(CI / CD)パイプラインとアプリケーションの自動保護を提供するクラウドビルダー向けのセキュリティサービスプラットフォーム「Trend Micro Cloud One™」を利用しています。また、セキュリティの問題をいち早く特定して解決し、DevOpsチームの問題解決速度を改善するのにも役立ちます。Trend Micro Cloud One™には、以下が含まれています。
- 「Trend Micro Cloud One™ Workload Security」: データセンター、クラウド、 コンテナを保護する多層防御・脆弱性対策を提供するクラウド型セキュリティ
- 「Trend Micro Cloud One™ Container Security」:コンテナイメージのスキャン、アドミッションコントロール、コンテナの実行時保護をまとめて実現
- 「Trend Micro Cloud One™ File Storage Security」:クラウドファイル/オブジェクトストレージのためのセキュリティ
- 「Trend Micro Cloud One™ Network Security」:マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
- 「Trend Micro Cloud One™ Application Security」:コンテナ、サーバレスなどに構築された最新のアプリケーションおよびAPI向けセキュリティ
- 「Trend Micro Cloud One™ Conformity」:クラウドインフラストラクチャの継続的なセキュリティ、コンプライアンス対応状況の確認および可視化
スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「Trend Micro Email Security™」、「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などにより不審なメールやその添付ファイルをブロックすることができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「LockBit Resurfaces With Version 2.0 Ransomware Detections in Chile, Italy, Taiwan, UK」
by Jett Paulo Bernardo, Jayson Chong, Byron Gelera, Nikki Madayag, Mark Marti, Cris Tomboc, Sean Torre
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)