LockBitランサムウェアの検出

サイバー脅威の分野では比較的新しい存在であるにもかかわらず、LockBitランサムウェアは速やかに悪名高きマルウェアとして名を馳せました。2020年から2021年にかけて、LockBitは最も活発で悪名高いマルウェアのリストに常に含まれていました。これを達成するために、LockBitの運営者はRansomware-as-a-Service（RaaS）モデルを活用し、より多くのアフィリエイトを巻き込んで攻撃を進めています。さらに、二重恐喝の手法を適用し、被害者に追加の圧力をかけ、身代金支払いの可能性を高めています。

LockBitランサムウェアとは？

最初にLockBitランサムウェアが登場したのは2019年で、「ABCD」ウイルスとして知られていました。この名称は暗号化されたすべてのファイルに追加されたファイル拡張子に由来しています。それ以来、このマルウェアはその悪意のある手段を大幅に進化させ、拡張子を .lockbitに変更しました。 現在、LockBitは地下フォーラムで盛んに宣伝されており、RaaSプログラムへの新規メンバーを獲得しています。2020年には、研究者たちは LockBitの販売者がアフィリエイトプログラムを通じて稼いだ金額は75,000ドルと推定しました。 $75,000 earned by LockBit sellers via an affiliate program.

その 分析によれば Covewareによると、LockBitは中規模から大規模の企業および政府機関を対象に活動を集中させています。とはいえ、ランサムウェアの運営者には独自の「道徳コード」があり、医療、労働組合、教育関連の組織を攻撃対象から避けています。さらに、ターゲットとなるマシンのIPアドレスが独立国家共同体内にある場合、LockBitの活動は停止します。これの理由は開発者の出自に関連している可能性があり、彼らはロシアのシベリア地方に住んでいると主張しています。これはCisco Talosチームとの インタビュー によるものです。さらに、統計は非常に高い率でのデータ復旧が報告されており、短い回復時間と共に行われています。つまり、マルウェア運営者は約束を守る傾向があり、これはLockBitのビジネスモデルの重要な部分とされています。

それにもかかわらず、盗人に名誉はなく、LockBitは依然として利益のために大企業を増加して狙っています。主に焦点を当てているのは米国とヨーロッパで活動しているIT企業です。ランサムウェア運営者はデータの暗号化前に機密データを盗む二重恐喝を効果的に採用しています。被害者に身代金を支払わせるために、LockBitの運営者は定期的にデータダンプや最新の攻撃情報を専用のウェブサイトで公開しています。有名メディアも巻き込んで被害を受けた企業について注目を集め、取引先のビジネスパートナーに事件への注意を促しています。

Covewareによると、2021年5月時点でのLockBit被害者に対する平均身代金は57,600ドルです。しかし、これは通常、ターゲット企業の規模や範囲に関連しており、はるかに大きくなる可能性があります。

LockBit攻撃方法

LockBitは感染プロセスを進めるために、さまざまな高度な方法を使用します。特に、このマルウェアは自己拡散型であり、ネットワーク内で数時間以内に広がり、アクセス可能なすべての資産を暗号化します。通常、攻撃者はターゲット企業を数日または数週間調査しますが、LockBitはオートメーションに依存し、非常に高速な侵入を活用します。さらに、マルウェアは暗号化段階で偵察を行い、最大限の被害をもたらします。

環境への最初のアクセスを取得するために、LockBitは通常フィッシングメールに依存します。また、既知の脆弱性とRDPサーバーも一般的に使用されます。続いて、ランサムウェアは偵察段階に入り、Mimikatz、PowerShell、Cobal Strikeなどのツールを使用して調査および横移動を行います。SMB、ARPテーブル、およびPowerShellは伝播に使用されます。最終的に、LockBitは通常Windows Management Instrumentation（WMI）コマンドでメモリ上で実行され、暗号化を開始します。直ちに、いくつかのフォルダーに身代金のメモが配置されます。

LockBitの検出

この悪名高い脅威から企業のインフラストラクチャを保護するために、Threat Detection MarketplaceのThreat Bounty開発者によってリリースされたSigmaおよびYARAルールのセットをダウンロードできます。

LockBitランサムウェアの検出

ランサムウェアペイロードの検出（LockBit）

LockBitランサムウェア

LockBitランサムウェアを検出

LockBit攻撃検出に特化したThreat Detection Marketplaceコンテンツの完全なリストは こちら. 

脅威検出用の完全なCI/CDワークフローを提供する業界トップのContent-as-a-Service（CaaS）プラットフォームであるThreat Detection Marketplaceに登録してください。独自の検出コンテンツを作成し、脅威ハンティング活動に参加したいですか？私たちのThreat Bounty Programに参加して、貢献に対する報酬を得ましょう！

プラットフォームに移動 Threat Bountyに参加