概要
LockBit 5.0は、Windows、Linux、およびESXiシステムを標的とするクロスプラットフォーム型のランサムウェアです。この最新バージョンは、従来の「Ransomware-as-a-Service (RaaS)」モデルに基づいており、ファイル暗号化とデータ漏洩を組み合わせた二重脅威戦略を採用しています。
LockBit 5.0の特徴
Acronis Threat Research Unit (TRU)による分析によると、Windows版は最も強力な防御回避機能を持ち、LinuxとESXi版は仮想化環境に最適化されています。
影響範囲
- 60以上の組織が既に攻撃を受けている。主に米国の企業を標的としている。
これらの組織は、民間企業、医療機関、金融サービス、製造業、政府機関、教育機関など多岐にわたります。
技術的な詳細
- XChaCha20とCurve25519: 暗号化にはXChaCha20が使用され、鍵交換にはCurve25519が採用されています。
Windows版はDLLのアンホーキングやプロセスホールディングなどの高度な防御回避技術を備えています。また、ロシア語圏のシステムを避けるための地理的なチェックも実装しています。
ESXi環境での動作
ESXi版は仮想化環境に特化しており、VMware ESXi上で動作するかどうかを確認し、/vmfs/ディレクトリ内の仮想マシン資産をスキャンします。さらに、特定のVM IDをターゲットにするパラメータもサポートしています。
インフラストラクチャと影響
TRUはLockBit 5.0のインフラストラクチャがSmokeLoader活動と関連していることを発見しました。これは、犯罪者たちがサーバーを共有またはレンタルすることでキャンペーンを加速し、真正の所有権を隠す傾向があることを示しています。
対策
企業はエンドポイントだけでなく、仮想化ホストやバックアップも含めた全体的なセキュリティ強化が必要です。Windows版が最も高度な防御回避技術を備えているため、特に注意が必要です。