LockBit 復活: グループの摘発後の進化の内幕

概要

LockBitは、2019年から活動している長年にわたるランサムウェア・アズ・ア・サービス（RaaS）で、二重恐喝の手法を用いています。2024年2月の大規模な法執行の摘発後、LockBit-NG-DevやLockBit 5.0といった新しい種を引っさげて再登場しました。これらの最新のバリアントは、クロスプラットフォーム対応、より強力な解析防御、そしてより破壊的な暗号化後の挙動を導入しています。このオペレーションは、世界中の多様なセクターにおける高価値の組織を狙い続けています。

調査

このレポートは、LockBit 3.0（LockBit Black）から実験的なLockBit-NG-Devビルドを経て、現在の5.0バージョンまでのLockBitの進化を追跡しています。カスタム暗号化ルーチン、DLLリフレクション、.NET CoreRTの使用法、MPRESSパッキング、およびプロセスやサービスの停止に用いるハッシュ化されたサービス名への大きな依存など、技術的側面を詳細に説明しています。記録された行動の変化には、「不可視」な実行モード、ETW改ざん、自動ログ消去が含まれています。分析は、Operation Cronosの下で実施されたインフラストラクチャーの破壊もカバーしています。

緩和策

防御者は、オフラインで不変なバックアップを保持し、その復旧手順を定期的に検証する必要があります。疑わしいPowerShell活動、VSS管理コマンドの使用、異常なミューテックス作成を含むランサムウェアの典型的な振る舞いを検知するエンドポイント検知を展開しましょう。特権アカウントの使用を制限し、トークン複製技術を抑制し、既知のLockBit C2ドメインをブロックしながら異常なTLSトラフィックパターンを監視します。

対応

LockBit活動が検知された際には、直ちに侵害されたシステムを隔離し、揮発性メモリをキャプチャし、関連するすべてのログデータを収集します。C2ホストを特定してブロックし、ランサムウェアプロセスを終了し、後のフォレンジック調査のためにミューテックス値を保持します。信頼できるバックアップからの復旧を開始し、内部または外部のインシデント対応チームにエスカレーションします。脅威情報や情報共有コミュニティにインジケーター・オブ・コンプロマイズを共有します。

シミュレーション実行

前提条件: テレメトリ & ベースラインの事前フライトチェックに合格していること。

理由: このセクションでは、検知ルールをトリガーするために設計された敵対者の技術（TTP）の正確な実行を詳細に示しています。コマンドと説明は、特定されたTTPを直接的に反映し、検知ロジックによって期待される正確なテレメトリを生成することを目的としています。

• 攻撃のシナリオ & コマンド:
  攻撃者はすでにランサムウェアバイナリを被害者のホストに配置しています。証跡を隠すために、ランサムウェアはfsutil.exeを呼び出し、ファイルをヌルバイトで上書きすることで、自身の実行ファイルをディスクから消去します。これは、ペイロードが暗号化フェーズを完了した後に実行されます。手順は以下の通りです:

  1. 実行中のランサムウェア実行ファイルのパスを決定する ($MyPath).
  2. 呼び出す fsutil.exe file setZeroData 上で$MyPath フラグを使ってファイル全体をゼロアウトする。0 フラグを使ってファイル全体をゼロアウトする。
  3. オプションで、今は空になったファイルを削除しファイルシステムエントリを取り除く。

  この手順は、プロセス作成イベントを生成し、イメージ=*fsutil.exe*とコマンドライン=*file setZeroData <パス>*に一致し、Sigmaルールに準拠しています。

• 回帰テストスクリプト:

  # LockBit-NG-Dev 自己削除のシミュレーション fsutil を介して
  # 1. ダミーの「悪意のある」実行ファイルを作成（ランサムウェアバイナリをシミュレート）
  $maliciousPath = "$env:TEMPmalicious.exe"
  Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force
  
  # 2. ファイルの存在を確認し、そのサイズを検証（オプション）
  Write-Host "ダミーのランサムウェアが $maliciousPath に作成されました (サイズ: $(Get-Item $maliciousPath).Length バイト)"
  
  # 3. fsutil を使用してファイルをゼロバイトで上書き
  Write-Host "fsutil を使用してファイルをゼロで上書きしています..."
  fsutil.exe file setZeroData $maliciousPath 0
  
  # 4. オプション: トレースを完全に消去するために、今は空になったファイルを削除
  Write-Host "ゼロ化されたファイルを削除しています..."
  Remove-Item -Path $maliciousPath -Force
  
  Write-Host "シミュレーション完了。SIEMでの検知を確認してください。"

• クリーンアップコマンド:

  # 残留アーティファクトを確実に除去する
  $maliciousPath = "$env:TEMPmalicious.exe"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "残留ファイル $maliciousPath を削除しました"
  } else {
      Write-Host "残留アーティファクトは見つかりませんでした。"
  }