ランサムウェア「LockBit 3.0」とは何か、何ができるのか？

ネット上では、窃盗、恐喝、脅迫、なりすましなどが横行しており、毎月何千人もの人が様々な詐欺や攻撃の被害にあっています。そのような攻撃方法の1つに、「LockBit 3.0」と呼ばれる一種のランサムウェアが使用されています。このランサムウェアはどこから来て、どのように使われているのか、そして自分自身を守るために何ができるのでしょうか。

LockBit 3.0はどこから来たのか？

LockBit 3.0（別名：LockBit Black）は、LockBitランサムウェアファミリーから生まれたランサムウェアの系統です。これは、第一波の攻撃が行われた後の2019年9月に初めて発見されたランサムウェアプログラムのグループです。当初、LockBitは".abcd virus"と呼ばれていましたが、その時点では、LockBit’の作成者とユーザーが元のランサムウェアプログラムの新しい反復を作成し続けることは知られていませんでした。

LockBit’のランサムウェアプログラムのファミリーは自己拡散していますが、特定の被害者だけをターゲットにしており、主に多額の身代金を支払う能力がある人を対象にしています。LockBit ランサムウェアを使用する者は、しばしばダークウェブでリモート・デスクトップ・プロトコル (RDP) アクセスを購入し、被害者’のデバイスにリモートでより簡単にアクセスできるようにします。

LockBit’の運営者は、最初の使用以来、英国、米国、ウクライナ、フランスなど、世界中の組織を標的にしています。この悪質なプログラム群は、Ransomware-as-a-Service (RaaS) モデルを使用しており、ユーザーは、特定の種類のランサムウェアにアクセスするためにオペレーターにお金を支払うことができます。これは、多くの場合、ある種のサブスクリプションを伴います。ユーザーは、LockBit ランサムウェアの使用が成功したかどうか、統計を確認することもできます。

LockBitがランサムウェアの一種として普及したのは、LockBit 2.0（現在の株の前身）を通じて、2021年になってからでした。この時点で、このランサムウェアを使用するギャングたちは、二重の恐喝モデルを採用することを決定しました。これは、被害者のファイルを暗号化し、別のデバイスに流出させる（または転送する）ものです。このように攻撃方法が追加されることで、標的となった個人または組織にとって、状況全体がさらに恐ろしいものになります。

LockBitランサムウェアの最新種類は、LockBit 3.0と確認されています。では、LockBit 3.0はどのように動作し、現在どのように使用されているのでしょうか。

LockBit 3.0とは？

2022年晩春、ランサムウェア群「LockBit」の新たな反復が発見されました。LockBit 3.0」です。ランサムウェアプログラムとして、LockBit 3.0は感染したデバイス上のすべてのファイルを暗号化し流出させ、攻撃者は要求された身代金が支払われるまで被害者のデータを人質にすることができます。このランサムウェアは、現在野生で活動しており、多くの懸念を引き起こしています。

典型的なLockBit 3.0の攻撃の流れは、以下の通りです。

LockBit 3.0は、被害者のデバイスに感染し、ファイルを暗号化し、暗号化されたファイルの拡張子を次のように追加します。本稿執筆時点では、LockBit 3.0は、Windows Defenderを悪用して、ペイロードを投下できる侵入テストツールCobalt Strikeを展開することが最も注目されています。また、このソフトウェアは、複数のデバイスにまたがるマルウェアの連鎖感染を引き起こす可能性があります。

このプロセスでは、攻撃者がビーコンを解読して起動できるように、コマンドラインツールMpCmdRun.exeが悪用されます。これは、システムを騙して悪意のあるDLL（ダイナミック・リンク・ライブラリ）を優先的にロードさせることによって行われます。

MpCmdRun.exe 実行可能ファイルは、Windows Defender がマルウェアをスキャンするために使用され、その結果、有害なファイルやプログラムからデバイスを保護することができます。Cobalt StrikeはWindows Defenderのセキュリティ対策を回避できることから、ランサムウェアの攻撃者にとって非常に有用なものとなっています。

この技術はサイドローディングとも呼ばれ、悪意のある者が感染したデバイスからデータを隠したり、盗んだりすることを可能にします。

ランサムウェア LockBit 3.0 を回避する方法

ロックビット3.0は、特に暗号化され流出する可能性のあるデータを大量に保有する大企業の間で懸念が高まっています。この危険な攻撃から確実に身を守ることが重要です。

そのためには、まず、すべてのアカウントで超強力なパスワードと2ファクタ認証を使用することを確認する必要があります。このようにセキュリティを強化することで、サイバー犯罪者がランサムウェアを使用して攻撃することをより困難にすることができます。例えば、リモート・デスクトップ・プロトコルのランサムウェア攻撃について考えてみましょう。このような場合、攻撃者はインターネット上で脆弱性のあるRDP接続をスキャンします。そのため、接続がパスワードで保護され、2FAを使用していれば、標的にされる可能性はかなり低くなります。

さらに、デバイスのオペレーティングシステムとウイルス対策プログラムを常に最新の状態に保つ必要があります。ソフトウェアのアップデートは時間がかかり、イライラすることもありますが、アップデートには理由があります。このようなアップデートには、バグフィックスや追加のセキュリティ機能が含まれていることが多く、デバイスやデータを保護し続けることができるため、デバイスをアップデートする機会を逃さないようにしましょう。

ランサムウェアの攻撃を回避するためではなく、その結果を回避するために行うもう一つの重要な対策は、ファイルのバックアップです。ランサムウェアの攻撃者は、さまざまな理由で必要な重要情報を差し控えることがあるので、バックアップを取っておくことで、被害の程度をある程度軽減することができます。USBメモリに保存したオフライン・コピーは、データが盗まれたり、デバイスから消去されたりした場合に、非常に貴重なものとなります。

感染後の対策

上記の提案でLockBitランサムウェアから身を守ることができますが、感染の可能性はまだ残っています。そのため、お使いのコンピュータが LockBit 3.0 に感染していることが分かったら、非合理的な行動を取らないことが重要です’。デバイスからランサムウェアを除去するためにできる手順がありますので、それを綿密に、慎重に実行する必要があります。

また、ランサムウェアの被害に遭った場合は、当局に警告する必要があります。そうすることで、関係者がランサムウェアをよりよく理解し、対処することができます。