ランサムウェア
ランサムウェアスポットライト:LockBit(ロックビット)
トレンドマイクロが追跡しているランサムウェア「LockBit(ロックビット)」による攻撃キャンペーン「Water Selkie」は、現在、最も活発なランサムウェア攻撃の1つとなっています。この攻撃キャンペーンでは、LockBitの多彩な機能やアフィリエイトプログラムのビジネスモデルが駆使されており、企業や組織は、これらの手口を常に把握して脅威のリスクを見出し、攻撃から身を守る必要があります。
(最終更新日:2024年5月7日)2024年2月19日、標的を絞った法執行行動「Operation Cronos」により、LockBit関連のプラットフォームが停止し、悪名高いランサムウェアグループの活動が混乱しました。続いて5月7日には、LockBitグループの首謀者「LockBitSupp」とされる人物が特定され制裁対象となると共に米国で起訴されたことも発表されました。当局は、掌握したLockBitのリークサイトを利用して、グループとその活動に関する情報を広め、逮捕、制裁、暗号資産の押収などを発表しました。この作戦に協力した民間パートナーの1つとして、トレンドマイクロは、開発中であったランサムウェアの最新バージョンLockBit-NG-Devを解析しました。解析の結果、攻撃手法として.NETコア活用への移行が確認され、これによりプラットフォームに依存しない特性が強まり、セキュリティ対策として新たな検出技術の必要性が確認されました。
LockBit攻撃グループのバックエンド情報も漏えいし、彼らの内部運営が明らかとなり、RaaS利用者の身元や被害者データなども公開され、この攻撃グループにおけるサイバー犯罪ネットワーク内での信頼や協力体制が低下する可能性があります。攻撃グループ自身の声明とは対照的に、混乱後に確認された彼らの活動は、「Operation Cronos」がグループの活動に大きな影響を与えたことを示しています。
トレンドマイクロが追跡しているランサムウェア「LockBit(ロックビット)」による攻撃キャンペーン「Water Selkie」は、現在、最も活発なランサムウェア攻撃の1つとなっています。この攻撃キャンペーンでは、LockBitの多彩な機能やアフィリエイトプログラムのビジネスモデルが駆使されており、企業や組織は、これらの手口を常に把握して脅威のリスクを見出し、攻撃から身を守る必要があります。
「ランサムウェアスポットライト:LockBit」のインフォグラフィックを見る
LockBitは、2019年9月に「ABCD」という名称で初めて確認されたランサムウェアファミリーであり、現在では、最も頻繁に確認されるランサムウェアファミリーの1つにまで進化を遂げました。
LockBitの攻撃者は、専門性に長けた運営能力やアフィリエイトプログラムを通じ、長期間にわたって攻撃活動に取り組むことが確認されています。そのため、彼らの手口を理解することは、企業や組織が現在および将来のランサムウェア攻撃への防御を強化する上でも役立つでしょう。
■ ランサムウェア「LockBit」のどのような点を理解すべきか
LockBitは、サービスとしてのランサムウェア(RaaS)というビジネスモデルを採用しており、常に新しい攻撃手法を採用することで、他のランサムウェア攻撃者の先を行っています。身代金要求の際、暗号化したファイルを復号するという条件提示だけでなく、支払わない場合は窃取した情報を暴露すると脅す二重恐喝の手口をとります。これは、被害者にさらなるプレッシャーを与え、攻撃キャンペーンの成功率を高める結果ともなっています。
また、特に注目すべき手口の1つが、情報送出を自動化する情報窃取型マルウェア「StealBit」の作成と利用でしょう。このマルウェアは、最新バージョンとして知られる「LockBit 2.0」のリリース時に確認されており、作成者は他のランサムウェアと比較して最も高速かつ効率的な暗号化を実現したとアピールしています。その他、2021年10月には、Linux向けのランサムウェアとして、特にESXiサーバを対象にした「Linux-ESXI Lockerバージョン1.0」がリリースされました。この亜種は、Linuxのシステムを標的にすることが可能であり、Linuxを利用する企業や組織にも大きな被害を与える可能性があります。
LockBitの手口としてもう1つ注目すべきは、アフィリエイトの募集やマーケティング活動にも積極的な点でしょう。こうした活動のためにネットワークアクセスのブローカーを雇ったり、他のサイバー犯罪グループ(現在は消滅した「Maze」など)と協力したり、標的の企業の内部者へ接近したり、才能あるハッカーを募集するためにアンダーグラウンドマーケットで開催されたテクニカルライティングコンテストのスポンサーになったりなど、多彩な活動を展開していることでも知られています。このようなさまざまな活動を駆使することで、LockBitの攻撃者グループは、アンダーグラウンド界隈で最も専門性に長けた組織的な犯罪集団の1つにまで成長しました。
これら一連の手口の有用性は、2021年に報告されたAccenture社への攻撃で明らかになりました。この事例では、セキュリティ専門家は(LockBitの攻撃者グループが接近したであろう)内部関係者が同社のネットワークにアクセスするのを手助けしたのではないかと見ています。また、この攻撃では(二重恐喝を示唆するように)窃取された情報の一部が外部に公開されたとも伝えられています。
図1:注目すべきLockBit関連事例のタイムライン
■ Water Selkieから洞察するLockBitの特徴
トレンドマイクロでは、LockBitによる特定の攻撃キャンペーンWater Selkieを調査し、上述のような一連の手口の有効性や影響を確認しました。主なポイントは、以下のとおりです。
・強みはランサムウェアの性能:LockBitの場合、実行速度や各種機能などの優位性がセールスポイントとして攻撃グループにより宣伝されており、すでに広く周知されています。このようにランサムウェアグループは、自分たちのランサムウェア性能のアピールに努め、最も高速かつ効率的な暗号化方式を備えたランサムウェアという評価を確立しています。
・被害者側が直面する法律や規則を利用:Water Selkieの攻撃者は、二重恐喝の手法を用いることでEU一般データ保護規則(GDPR)違反を恐れる欧州の被害者に狙いを定めていると見られています。米国にも情報暴露を恐れる企業や組織が存在しているものの、データプライバシー法を巡るこうしたプレッシャーに便乗する可能性は十分にあります。実際、GDPRなどの地政学的な状況は積極的に便乗しているようです。
・アフィリエイトプログラムの活用:前述のとおり、LockBitの成功の要因は、信頼できる有能なアフィリエイトをうまく採用していることにあります。事実、同攻撃キャンペーンのアフィリエイターの中には、複数のRaaSモデルに携わっている人もおり、さまざまな改革を試みる中で他の攻撃キャンペーンを行う競合他者よりも優位に立っているようです。こうしてWater Selkieは、アフィリエイターからも専門性の高い攻撃活動として評価されているようです。
・将来性のある攻撃活動:Water Selkieは、2021年後半から攻撃活動をより活発化させています。そして2022年前半には、同程度の活動レベルが維持されるか、もしくはさらなる活発化があるのではないかとも推測されています。実際、LockBitの攻撃者へのインタビューによると、彼らは今後、より多くのサプライチェーン攻撃を展開することを画策しているようです。
■ 影響を受けた主な産業や国
ここでは、企業や組織を侵害しようとするLockBitについて、Trend Micro™ Smart Protection Network™のデータをもとに攻撃総数や検出数を見ていきます。LockBitは世界中で検知されており、国別の攻撃総数では、2021
6月から2022年1月20日にかけて、米国で最も多くの攻撃が確認され、インドとブラジルがそれに続きました。多くのランサムウェアファミリーと同様に、LockBitは独立国家共同体(CIS)諸国を避けています。
一方、LockBitの検出台数は、ヘルスケア業界で最も多く、次いで教育分野で多く見られました。しかしながら、LockBitの攻撃者は、医療機関、教育機関、慈善団体を攻撃しないなどとも主張しています。こういった「言行不一致」については、米国保健サービス省(HHS)も指摘しており、相手を油断させるような声明を安易に信じないようにと注意喚起しています。
図2:LockBitの攻撃総数国別ランキング(2021年7月1日~2022年1月20日)
図3:LockBitの検出台数業界別ランキング(2021年7月1日~2022年1月20日)
全体としては、LockBit 2.0がリリースされた2021年6月以降に活動が活発化し、2021年11月にピークを迎えました。
図4:LockBitの攻撃総数月別推移(2021年7月1日~2022年1月20日)
■ LockBitのリークサイトに基づく対象地域や業界
ここでは、LockBitの攻撃者が情報暴露の脅迫に使用したリークサイトの記録から、本稿執筆時点で身代金の支払いを拒否しつつ、被害を受けた企業や組織の件数を見ていきます。2021年12月16日から2022年1月15日にかけて、複数のRaaSのリークサイトを確認したところ、LockBitの攻撃グループによる被害件数が最も多く、41件となり、次いでContiの攻撃グループによる29件となっています。ただし、LockBitの場合、被害件数を人為的に水増ししているという指摘があることにも留意が必要です。
被害に遭われた対象を地域別に見ると、半数以上が北米地域であり、次いでヨーロッパ、アジア太平洋地域となっているようです。
LockBitの攻撃グループは、他のグループと比較すると被害対象がさまざまな業界に及んでいるという点で、無差別に企業や組織をターゲットにしていることが分かります。上述と同じ対象期間で見ても、金融、プロフェッショナルサービス、製造、建設など多くの業界で被害が確認されています。LockBitの被害対象の大多数は中小企業および中堅企業であり、割合はそれぞれ65.9%と14.6%、大企業は19.5%となっています。これは、Contiの場合に大企業が44.8%、中堅企業が34.5%、中小企業が20.7%しかないケースとは対照的です。
図5:リークサイトに基づくLockBit被害対象の地域分布
(2021年12月16日〜2022年1月15日)
図6:リークサイトに基づくLockBit被害対象の業界別分布
(2021年12月16日〜2022年1月15日)
また、同時期のリークサイト内の活動を観察すると、平日が全体の約78%と大半を占め、週末の活動は22%でした。
■ 感染フローおよび各種手口
RaaSとして活動するLockBitの感染フローでは、攻撃に関与するアフィリエイトに応じてさまざまな手法やツールが採用されていることがわかります。アフィリエイトは、通常、他の攻撃者からターゲットへのアクセス経路を購入します。この場合、攻撃者は、フィッシング攻撃、脆弱なアプリの悪用、リモートデスクトッププロトコル(RDP)アカウントへのブルートフォース攻撃といった手口によりアクセス経路を入手しています。
これまでに確認されたLockBitの感染フローは、以下のとおりとなります。
図7:LockBit 1.0(対象システムにアクセス後、PowerShell Empireを使用してコマンドアンドコントロールを実行する感染フロー)
図8:LockBit 1.0(Microsoft RASを使用して他のシステムへアクセスする感染フロー)
図9:LockBit 1.0(対象システムにアクセス後、Meterpreterを使用してコマンドアンドコントロールを実行する感染フロー)
図 10:LockBit 1.0(対象システムにアクセス後、ペイロードを直接展開し、ネットワークスキャンは実行しない感染フロー)
図 11:LockBit 2.0(StealBitを使用して自動的に情報送出を行う感染フロー)
・LockBitの攻撃者は、多くの場合、アフィリエイトを介して購入もしくは入手されたサーバやRDPアカウントによりアクセスする
・場合によっては、スパムメールを介してか、もしくは安全でないRDPやVPN認証情報をブルートフォース攻撃することでアクセスする
・VPN製品「Fortinet」に存在する脆弱性「CVE-2018-13379」を悪用してアクセスするケースもある
不正活動の実行
・LockBitは、通常、コマンドラインから実行され、特定のパスのみを暗号化する際にはファイルパスやディレクトリをパラメータとして受け取る
・他の感染端末から拡散された場合は、作成されたスケジュールタスクによって実行されるケースもある
・ペネトレーションテストなどで利用されるpost-exploitation agent「PowerShell Empire」により実行されたケースも確認されている
クレデンシャルアクセス
・クレデンシャルへのアクセスとしては、アフィリエイトを介した入手以外では、Mimikatzを使用して窃取されるケースも確認されている
検出回避
・いくつかの事例では、GMER、PC Hunter、Process Hackerなど、セキュリティ製品を無効化する目的のツールの使用が確認されている
・その他の事例では、Windows Defenderを無効にするためのグループポリシー作成も確認された
事前調査
・Network Scanner、Advanced Port Scanner、AdFindなどが、ネットワークに接続されている端末を列挙するためにも使用されていた。ドメインコントローラやActive Directoryサーバは、ネットワークの暗号化やランサムウェアの拡散に利用可能である。これらの活動に際してドメインコントローラを特定するため、この調査が実施されたと推測される
水平移動・内部活動
・LockBitは、取得した認証情報によりSMB接続を介して自身を拡散させることが可能である
・グループポリシーを介して自身を拡散させたケースも確認された
・その他、PsExecやCobalt Strikeなどの正規ツールを用いてネットワーク内を横移動する活動も確認された
情報送出
・MEGAやFreeFileSyncのようなクラウドストレージツールを介して窃取したファイルをアップロードする
・窃取したファイルの情報送出には、別の情報窃取型マルウェア「StealBit」(これも攻撃者がサービスとして販売している)が使用されるケースも確認された
被害規模
・LockBitにより暗号化の動作が実行される。暗号化には、ローカルおよびネットワークの双方が対象となる暗号化が含まれる
・AESを使用してファイルが暗号化され、さらにRSAによりAESキーが暗号化される。AESキーはBcryptGenRandomにより生成される
・暗号化の高速化のため、ファイルの最初の4KBだけを暗号化して「.lockbit」の拡張子を付加する手法がとられる
・デスクトップの壁紙は、対象の企業内の内部協力者やアフィリエイトを勧誘しようとする文言に置き換えられる
・ネットワーク暗号化に際しては、ネットワークドライブがアクティブであることを確認するWoLパケットを送信する。この動作はランサムウェアRyukで初めて確認された
・WinSpool APIを介し、感染端末に接続されたプリンタで脅迫状を印刷する機能も備えているが、これはおそらくランサムウェアEgregorの手口に触発されたものと推測される
図12:感染端末上で置き換えられる壁紙の一例
■ MITRE tactics and techniques
Initial Access(初期侵入)
・T1566 – Phishing
-フィッシングメールを介して侵入する
・T1190 – Exploit public-facing application
-以下の脆弱性をついて侵入する
・CVE-2018-13379
・T1078 – Valid accounts
-侵害されたアカウントを使用してRDPやVPN経由で対象の端末にアクセスすることが報告されている
・T1106 – Execution through API
-ネイティブAPIを使用して各種コマンド/ルーチンを実行する
Execution(不正活動の実行)
・T1059 – Command and scripting interpreter
-PowerShellやWindowsコマンドシェルなどの各種スクリプトインタプリタを使用する
・T1204 – User execution
-スピアフィッシングのリンクや添付ファイルからペイロードを実行するためにユーザによる実行が必要となる
Persistence(永続化)
・T1547 – Boot or logon autostart execution
-レジストリの実行エントリを作成する
Privilege Escalation(権限昇格)
・T1134 – Access token manipulation
-AdjustTokenPrivilege APIを使用して、トークン属性をSE_PRIVILEGE_ENABLEDに変更する
・T1548 – Abuse Elevation Control Mechanism
-UACバイパス技術のgithubコレクションであるUACMEのucmDccwCOMMethodを利用する
Defense Evasion(検出回避)
・T1140 – Deobfuscate/Decode Files or Information
-動作全体で使用される文字列は、XORやSubtractionにより暗号化される
・T1562 – Impair defenses
-セキュリティ関連サービスを終了させる
-PC Hunter、Process Hacker、KillAV/KillProc などのツールが使用される
・T1574 – Hijack execution flow
-DLLサイドローディングが防御回避の形式として利用される
・T1218 – Signed Binary Proxy Execution
-脅迫状を開く際にmshtaを実行する
・T1484 – Domain Policy Modification
-SMB経由で拡散させたコピーを実行させるため、AVツールを終了させ、スケジュールタスクを作成するグループポリシーに更新して配布する
・T1070 – Indicator Removal on Host
-Windowsのイベントログとその実行ファイルを削除して痕跡を消すことができる
Discovery(事前調査)
・T1083 – File and directory discovery
-暗号化に関連する特定のファイルやディレクトリを検索する
・T1135 – Network Share Discovery
-ネットワーク暗号化のため、ネットワーク共有を列挙する
・T1018 – Remote system discovery
-ネットワークスキャンのためのツールを活用する
・T1057 – Process discovery
-プロセス終了のための特定のプロセスを見つける
Lateral Movement(水平移動・内部活動)
・T1570 – Lateral tool transfer
-RDP、SMB管理者共有、PsExecを利用して、ランサムウェアやツールをネットワーク内に転送できる
Exfiltration(情報送出)
・T1567 – Exfiltration over web service
-MegaSyncやFreeFileSyncなど、指定したクラウドストレージにファイルを同期する
・T1041 – Exfiltration Over C2 Channel
-StealBitツールを使用して情報送出する
Impact(被害規模)
・T1486 – Data encrypted for impact
-AESとRSAの組み合わせでファイルとキーを暗号化する
-Winspool APIを使用してプリンタで脅迫状を印刷する
・T1489 – Service stop
-暗号化を確実にするために終了させることが必要なサービスのリストが含まれている
・T1491 – Defacement
-デスクトップの背景を置き換えて脅迫状を表示する
■ 使用したマルウェア、ツール、エクスプロイトの概要
企業や組織のセキュリティ部門は、LockBitによる攻撃で使用される以下のマルウェアツールおよび脆弱性悪用ツールの存在に注意する必要があります。
初期侵入
・フィッシングメール
・RDP/Validアカウント
・悪用される脆弱性:
-CVE-2018-13379
不正活動の実行
・スケジュールタスク
・Windowsコマンドライン
事前調査
・ネットワークスキャナ
水平移動・内部活動
・グループポリシー
・SMB
・PsExec
検出回避
・KillAV/KillProc
・PC Hunter
・Process Hacker
情報送出
・StealBit
・FreeFileSync
・MegaSync
■ 推奨事項
上述のとおり、LockBitは、今後数カ月間、これ以上に活動レベルを上げるかはっきりしないものの、現在の活動自体が継続されることは確かでしょう。また、本稿の考察からも、LockBitは、変化する脅威状況に適応しつつ、多目的な運用にも注力していることが確認されました。こうした点からも、企業や組織は、自社のセキュリティ対策を脅かす可能性のある最新動向を常に把握しておく必要があります。
このような脅威から自社のシステムを守るため、企業や組織は、ランサムウェアに対する強固な防御を講じる上で、体系的にリソースを割り当てることができるセキュリティフレームワークを確立することが不可欠です。
こうしたセキュリティフレームワークに導入すべきベストプラクティスは、以下のとおりとなります。
監査とインベントリーの実施
・資産とデータの棚卸しを実施する
・許可された機器、許可されていない機器、ソフトウェアなどを特定する
・イベントログ、インシデントログの監査を実施する
設定確認と監視活動の徹底
・ハードウェアおよびソフトウェアの設定管理を確認する
・管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
・ネットワークポート、プロトコル、サービスの監視を徹底する
・ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
・正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
修正パッチ適用とアップデートの実施
・定期的な脆弱性診断の実施を徹底する
・OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
・ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
防御および復旧に備えた活動の実施
・データ保護、バックアップ、リカバリ対策の実施を徹底する
・多要素認証を導入する
適切なセキュリティソリューションの導入
・サンドボックス解析による不正メールのブロック機能を導入する
・メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
・システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
・AIや機械学習による高度な検知技術を活用する
セキュリティ関連のトレーニングやテストの徹底
・従業員に対するセキュリティスキルの定期的な研修と評価を実施する
・レッドチーム演習や侵入テストを実施する
■ トレンドマイクロのソリューション
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、ウェブ、ネットワーク)への防御が可能となります。また、不審なコンポーネントや挙動行動を検出も可能となります。
・「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
・「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
・「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
・「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
■ 感染の痕跡
本記事の感染の痕跡(IOC)は、こちらをご参照ください。なお、これらの指標は、攻撃ごとに異なる場合があります。
参考記事:
「Ransomware Spotlight – LockBit」
by Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)