はじめに
セキュリティ研究者らが、ランサムウェア・アズ・ア・サービス(RaaS)最大手の一つであるLockBit 5.0のアフィリエイトパネルを公開し、そのインフラと新たな暗号化亜種の詳細が明らかになりました。悪名高い「オペレーション・クロノス」による混乱後も、LockBitがその中核的な運用手順をほぼ維持していることが確認されています。ホリデーをテーマにしたインターフェースの更新は、積極的な開発と継続的な運用を示唆しています。
LockBit 5.0アフィリエイトパネルの露出
流出した情報により、LockBitアフィリエイトがランサムウェア攻撃を調整し、被害者との交渉を行うために使用するバックエンドインフラが暴露されました。研究者が入手したスクリーンショットには、複数の攻撃キャンペーンを同時に管理できるよう設計された高度なダッシュボードが示されています。このインターフェースには、アフィリエイトのオンボーディング、支払い構造の交渉、攻撃調整プロトコルに関するオプションが含まれています。
Senior CTI AnalystのArda Büyükkaya氏とIR AnalystのMatthew Maynard氏による独占分析では、法執行機関からの大きな圧力にもかかわらず、グループの回復力が示されています。システムは以前のバージョンから最小限の変更しか見られず、オペレーション・クロノスによるテイクダウン後も、LockBitが「通常通りの業務」アプローチを採用していることを示唆しています。ホリデーをテーマにした外観の更新は、グループの開発者がプラットフォームを積極的に保守し、段階的に更新していることを示唆しています。
新たなマルチプラットフォーム暗号化亜種
サイバーセキュリティアナリストは、2026年1月14日にリリースされた4つの新しいLockBit 5.0亜種を特定しました。これらはそれぞれ、特定のオペレーティングシステムと仮想化環境を標的としています。
- LB_Black_14_01_2026 – 従来のWindowsに焦点を当てた亜種。
- LB_Linux_14_01_2026 – Linux暗号化モジュール。
- LB_ESXi_14_01_2026 – VMware ESXiハイパーバイザーを標的とする。
- LB_ChuongDong_14_01_2026 – 特殊な展開亜種。
この多様化戦略により、LockBitのアフィリエイトは、従来のエンタープライズネットワークからクラウドベースおよび仮想化システムまで、多様なインフラ環境を侵害することが可能になります。
サイバー犯罪コミュニティ内の評価とLockBitの対応
運用能力を維持しているにもかかわらず、侵害された通信から収集された情報によると、サイバー犯罪コミュニティ内でのLockBitの評判は著しく悪化しています。法執行機関の行動や以前のパネル侵害を理由に、多くのアフィリエイトがグループとの協力をためらっています。しかし、LockBitのリーダーシップは、混乱がなかったかのように運営を継続し、新しいアフィリエイトを積極的に募集し、支払いインフラを維持しています。アフィリエイトの感情と運営姿勢のこの乖離は、グループが信頼の再構築よりも市場シェアの維持を優先していることを示唆しています。
セキュリティチームへの影響と推奨事項
組織はこれらの新しい亜種を重大な脅威として扱うべきです。セキュリティチームは、以下の対策を直ちに実施する必要があります。
- 継続的な脅威露出管理ソリューション:ダークウェブコミュニティや脅威アクターフォーラムを自動的にスキャンするソリューションを活用し、新たな亜種や攻撃手法に関する早期警告を収集する。
- 検出シグネチャの即時実装:新しいLockBit 5.0サンプル4種に対する検出シグネチャを直ちに実装する。
- EDR(Endpoint Detection and Response)アラートの優先順位付け:すべてのプラットフォームで不審な暗号化動作に対するEDRアラートを優先する。
マルチプラットフォームを標的とする戦略への移行は、LockBitが従来のWindows環境を超えて、Linuxやハイパーバイザーベースのインフラを使用する組織を悪用しようとしていることを示しています。