サイバーニュース.jp

世界のサイバーなニュースを配信

LockBit 5.0、高度な暗号化と強化された分析妨害技術を導入

カテゴリ:

はじめに

LockBitは、ランサムウェア・アズ・ア・サービス(RaaS)として世界で最も多産なオペレーションとしての地位を確立しています。2023年には全ランサムウェア攻撃の約21%を占め、2021年から2022年の期間には30.25%もの支配的なシェアを持っていました。2019年9月の登場以来、LockBitは地域的な脅威から世界的なシステムリスクへと進化し、ITインフラ、電子機器製造、法律サービス、宗教機関など、様々な重要セクターで侵害が確認されています。

今回登場したLockBit 5.0は、技術的な洗練度を大幅に高めています。これにより、強化された暗号化手法と分析妨害メカニズムが導入され、被害者の復旧作業やフォレンジック分析が根本的に複雑化しています。

LockBit 5.0の技術的進化

暗号化の革新

  • ハイブリッド暗号フレームワーク: LockBit 5.0は、対称ファイル暗号化にChaCha20-Poly1305を、非対称鍵交換にX25519楕円曲線暗号とBLAKE2bハッシュを組み合わせたハイブリッドフレームワークを採用しています。これにより、暗号化されたファイルがローカルシステム情報のみで復元されることを効果的に阻止し、従来のフォレンジックやブルートフォースによる復号を不可能にしています。
  • パフォーマンス最適化: ファイルサイズに基づいて暗号化のパフォーマンスを最適化しています。具体的には、約83.9MB(0x5000000バイト)以下のファイルは派生したキーストリームを使用して直接ChaCha20暗号化されます。一方、これより大きなファイルは、8MB(0x800000バイト)のチャンクに分割され、それぞれ独立した暗号化とカスタムハッシュベースの整合性マーカーが追加されます。この階層化されたアプローチは、暗号化の速度とセキュリティの堅牢性のバランスを取り、侵害されたシステムでの動作時間を短縮しつつ、暗号化の整合性を維持します。
  • 復旧への脅威: 身代金要求ノートには、自己復旧の試みや第三者の復旧サービスとの連携を行った場合、復号が永久に不可能になるという警告が明示されています。これは、被害者に対し、代替の復旧経路を断ち、即座の身代金支払いを強制するための行動的脅威です。

分析妨害メカニズム

LockBit 5.0は、動的および静的マルウェア分析の両方を標的とした積極的な防御策を講じています。パッキングおよび難読化技術により、バイナリ構造が隠蔽され、リバースエンジニアリング作業が複雑化します。また、ハードコードされたサービス停止機能は、以下の16種類のバックアップ、仮想化、およびセキュリティソリューションを標的にしています。

  • Veeam
  • Acronis
  • Microsoft Edge Update
  • Windows Search機能
  • その他、合計16種類の特定されたソリューション

さらに、マルウェアはWindowsシステムが自動回復ポイントを維持する上で重要なメカニズムであるボリュームシャドウコピーサービス(VSS)コンポーネントを選択的に終了させ、被害者を復元不可能な暗号化状態に陥れます。加えて、ハッシュベースの難読化を通じて特定された31の追加サービスも停止させ、既知の公開データセットを超えたセキュリティおよびバックアップインフラへの広範な標的化を示しています。

暗号化前の運用手順

ファイル暗号化に先立ち、LockBit 5.0は標準的なWindows一時ディレクトリから一時ファイルを体系的に削除し、不要なキャッシュデータを排除することで暗号化パフォーマンスを加速させます。同時に、マルウェアは、重要なWindowsシステムディレクトリおよび実行可能ファイルの拡張子(exe, dll, sys, cpl)を暗号化から除外します。これは、システムの安定性と起動可能性を維持するための意図的な運用上の制約であり、これにより攻撃者は暗号化の展開中および展開後も侵害されたホストに対する永続性と制御を維持できます。

LockBit 5.0は、カスタムハッシュ関数を通じて、実行インスタンスごとに100種類の固有の8バイト拡張子を生成する動的なファイル拡張子ランダム化を実装しています。このメカニズムは、静的なIoC(侵害の痕跡)シグネチャを回避し、攻撃時に展開された特定の拡張子セットに関する事前の知識がなければフォレンジック復旧ツールが暗号化されたファイルの命名規則を予測できないため、復旧サービスの展開を複雑にしています。

企業への影響と推奨事項

LockBit 5.0に組み込まれた技術的洗練度は、運用セキュリティと被害者強制メカニズムを優先するRaaSオペレーションの成熟を反映しています。このグループが各セクターで継続的に支配的な存在であることと、進化する暗号化技術は、企業における脆弱性管理、アクセス制御、およびインシデント対応の準備において永続的な脆弱性が存在することを示唆しています。

組織は、以下の対策を優先する必要があります。

  • バックアップインフラのセグメンテーション
  • 本番ネットワークから隔離された不変のバックアップの実装
  • ランサムウェア展開に先行する横移動やデータ流出の特定に焦点を当てた積極的な脅威ハンティング

LockBit 5.0がもたらす継続的な脅威は、エンドポイント検出と対応、ネットワーク監視、およびインシデント対応能力における包括的なセキュリティ体制の見直しを必要としています。

元記事: https://gbhackers.com/lockbit-5-0-2/

投稿をさらに読み込む