概要

Trend Microのサイバーセキュリティ研究者たちは、LockBitランサムウェアの新たな危険な亜種「LockBit 5.0」を発見しました。このランサムウェアは、Windows、Linux、およびVMware ESXiシステムを標的とし、高度な難読化技術と洗練されたクロスプラットフォーム機能を活用しています。

高度なマルチプラットフォーム攻撃戦略

LockBit 5.0は、ランサムウェアの脅威における著しい進化を示しており、3つの重要なコンピューティングプラットフォーム向けに専用の亜種が存在します。

• Windows版: 重い難読化とパッキング技術を採用し、DLLリフレクションを介してペイロードをロードします。ETWパッチ適用やセキュリティサービスの自動終了など、高度な分析対策を実装しています。
• Linux版: Windows版と同様の機能を持ち、コマンドラインオプションにより特定のディレクトリやファイルタイプを標的にできます。
• ESXi版: VMware仮想化インフラストラクチャを特に標的とし、単一の実行で仮想マシン環境全体を暗号化する能力を持っています。

すべての亜種は、検出システムを回避しながら損害を最大化するように設計された共通の行動特性を共有しています。ランサムウェアは、暗号化されたファイルに対してランダムな16文字のファイル拡張子を生成し、復旧作業を困難にします。また、以前のLockBitバージョンと同様に、ロシア語設定や地理的位置を検出すると実行を終了する地政学的保護機能も含まれています。

マルウェアは、ETwEventWrite APIにパッチを適用してWindowsイベントトレースを無効化したり、暗号化後にイベントログをクリアしたりするなど、複数のフォレンジック対策技術を実装しています。ハッシュ化されたサービス名とハードコードされたリストを比較することで、セキュリティサービスを体系的に終了させます。

コード分析が示す進化

LockBit 4.0と5.0の比較分析により、大幅なコードの再利用が明らかになり、これは完全な書き換えではなく、既存のマルウェアの進化を示唆しています。両バージョンは同一のハッシュアルゴリズムとAPI解決方法を共有しており、LockBitランサムウェアファミリーの継続性を裏付けています。

Windows版は、クリーンなフォーマットと詳細なヘルプコマンドを備えた改善されたユーザーインターフェースを特徴としており、攻撃者に暗号化モード、ディレクトリターゲティング、運用可視性設定など、広範なカスタマイズオプションを提供します。

企業への影響と対策

専用のESXi版は、ESXiサーバーが通常複数の仮想マシンをホストするため、企業環境に特に高いリスクをもたらします。攻撃が成功すると、仮想化環境全体が暗号化され、世界中の組織における事業中断の可能性と身代金要求が大幅に増幅されます。

LockBit 5.0は、従来の感染マーカーの削除、より高速な暗号化プロセス、強化された回避能力など、前身と比較していくつかの技術的改善を示しています。すべての亜種における重い難読化は、セキュリティシグネチャの開発を大幅に遅らせ、世界中のセキュリティチームにとって検出をより困難にしています。

Windows、Linux、ESXiの各亜種の存在は、LockBitの洗練されたクロスプラットフォーム戦略を裏付けており、企業ネットワーク全体で同時に攻撃を実行できます。組織は、仮想化インフラストラクチャと重要なビジネスシステムの保護に特に注意を払い、包括的なマルチプラットフォーム防御を実装する必要があります。

2024年2月の「オペレーション・クロノス」による法執行機関のLockBitインフラストラクチャ妨害にもかかわらず、このグループは最新リリースを通じて驚くべき回復力を示しています。Ransomware-as-a-Serviceモデルは急速に進化し続けており、LockBit 5.0は以前のバージョンよりも著しく危険であり、即座の包括的なセキュリティ更新が必要です。

---

元記事: https://gbhackers.com/lockbit-5-0-ransomware-targets-windows-linux-vmware-esxi-systems/