LockBit 2.0 ランサムウェアの検出: 悪名高い脅威が新たな攻撃手法と暗号化方式で再浮上

LockBitの運営者は急速に加速しています。このギャングは2019年以来、サイバーセキュリティ専門家のレーダーに入っており、 LockBitランサムウェア バージョン2.0を2021年6月に立ち上げ、2022年2月7日、連邦捜査局(FBI)は IOCを公開し、LockBit 2.0ランサムウェア攻撃に関する警告を発表しました。現在のデータでは、この新たなキャンペーンはデータの迅速な流出と盗まれた機密情報の露出が特徴であると示唆されています。

LockBit 2.0アップグレード

2021年夏以降、LockBitグループは新しいアフィリエイトを積極的に狩ってきました。採用プログラムは成功裏に進み、LockBitギャングによって影響を受けた組織の数は着実に増加し、新しい方法やより効率的な攻撃技術と強要手段に屈してきました。被害者には、フォーチュン500リスト、大学、医療施設を含むすべての規模の組織が含まれています。最新のアップデートでは、Active Directoryグループポリシーを悪用することで、Windowsドメイン全体のデバイスを自動的に暗号化する機能を敵対者に装備しました。2021年8月にはLockBit 2.0がインサイダー向けに広告を開始し、成功した攻撃からの収益の一部を約束しながら、企業のネットワークへの初期アクセスを得ることを目的としました。

LockBit 2.0キルチェーン

LockBit 2.0は、アフィリエイトによるRansomware-as-a-Service (RaaS)として運営され、さまざまな戦術、技術、および手順(TTP)を採用し、防御と緩和のベストプラクティスの有効性を覆しています。敵対者は、パッチ未適用の脆弱性の悪用、インサイダーアクセス、ゼロデイ攻撃などの悪意のあるアプローチを使用するネットワークを標的にしています。さらに、LockBitの運営者は、フィッシング技術とブルートフォースRDPアカウントにより第三者ハッカーによって侵害され、アクセスが脆弱なターゲットを購入することで知られています。

ネットワークが侵害されると、アフィリエイトは、Mimikatzなどの特注および合法的なアプリケーションを利用して被害者の認証情報を盗みます。その後、LockBit 2.0はシステムとユーザーの言語設定を分析し、東欧の言語リストに一致しない対象のみを標的にします。東欧の言語を検出した場合、ランサムウェアは感染を広げません。これはメンテナーの出身地を示唆しています。LockBit 2.0はログファイルとシャドウコピーを標的とし、システム情報を収集し、ローカルおよびリモートドライブ上のすべてのデータの暗号化を目指します。ただし、コアシステム機能に必要なファイルは除外されます。自己複製するマルウェアは、暗号化操作が完了した後、ディスクから自ら削除されます。犯罪者は、影響を受けたディレクトリごとに、解読ソフトウェアを彼らから入手する方法を説明する身代金メモを必ず残します。メモにはさらに、ランサムが支払われない場合、盗まれた機密情報を彼らのドクシングサイトに公開すると脅されています。

LockBit 2.0は、VMWare ESXi仮想マシン内の脆弱性を悪用するLinuxベースのマルウェアも開発しました。

LockBit 2.0マルウェア検出

LockBit 2.0の新しい世代は急速に浸透を得ており、世界中の産業に大きな圧力をかけています。この急速に拡大する脅威から防御するために、私たちの熟練したThreat Bounty開発者 Nattatorn Chuensangarun and Kaan Yeniyol:

LockBit 2.0ランサムウェア強制GPOポリシー（プロセス作成経由）

レジストリを介したLockBit 2.0ランサムウェアの検出

LockBit 2.0ランサムウェアネームドパイプ

LockBit攻撃の検出に専念したThreat Detection Marketplaceのコンテンツの完全なリストは こちら. 

また、 業界ガイドライン: ランサムウェア攻撃に対抗するための防御 、SOCプライムのCISOが提供する、を査読することをお勧めします。これらのガイドラインは、ランサムウェア防御のベストプラクティスをカバーし、ランサムウェア統計、主要傾向、主要なランサムウェア集団が適用する戦術、技術、手順(TTP)の詳細な概要を提供します。 、SOCプライムのCISOが提供する、を査読することをお勧めします。これらのガイドラインは、ランサムウェア防御のベストプラクティスをカバーし、ランサムウェア統計、主要傾向、主要なランサムウェア集団が適用する戦術、技術、手順(TTP)の詳細な概要を提供します。, CISO at SOC Prime. These guidelines cover best practices for ransomware defense and make a deep-dive overview of ransomware stats, major trends, and the Tactics, Techniques, and Procedures (TTPs) applied by major ransomware gangs. 

ランサムウェア俳優に一歩先んじるために、専用の ランサムウェア検出ルールパック をSOCプライムからダウンロードすることもできます。このパックには、Ryuk、DoppelPaymer、Conti、LockBit、Avaddonなどの不正なサンプルを見つけるための35以上の検出ルールが集約されています。すべてのルールは MITRE ATT&CK®フレームワークに直接マッピングされており、対応する脅威コンテキストとインテリジェンスが補強されています。

SOCプライムのDetection as Codeプラットフォームに無料でサインアップして、ベストプラクティスと共有の専門知識でSOCオペレーションを効率化しましょう。自分自身の検出コンテンツを作成し、脅威の狩猟イニシアティブに参加したいですか？グローバルなサイバーセキュリティコミュニティの力を活用し、あなたの貢献を収益化しましょう。

プラットフォームに移動 脅威バウンティに参加