LockBit 5.0の復活と新たな脅威
2024年初頭の「オペレーション・クロノス」による混乱から数ヶ月を経て、悪名高いランサムウェアグループLockBitが、新たな勢いと強力な武器を携えて復活しました。2025年9月だけで、研究者たちはこの復活した作戦によって標的とされた組織が12件に上ることを確認しました。特に懸念されるのは、新しいLockBit 5.0亜種の急速な採用であり、同月に確認された攻撃の半分を占めています。被害は西ヨーロッパ、アメリカ大陸、アジアに及び、LockBitのグローバルな到達範囲と広範なアフィリエイトネットワークの再活性化を示しています。チェック・ポイント・リサーチは、LockBitが複数の大陸の組織から積極的に金銭を強要していることを確認しており、新たにローンチされたLockBit 5.0亜種(内部名称「ChuongDong」)は、すでに世界中の企業にとって重大な脅威となっています。
LockBitSuppによる復活宣言
LockBitの復活は、決して控えめなものではありませんでした。9月初旬、グループの管理者であるLockBitSuppは、アンダーグラウンドフォーラムで作戦の再開を公式に発表し、同時に新しいアフィリエイトの募集を開始しました。この発表は、ダークウェブプラットフォームでの数ヶ月にわたる自信に満ちたメッセージングの後に続きました。2025年5月には、LockBitSuppはRAMPフォーラムで「ハッキングされても我々は常に立ち上がる」と挑戦的な投稿をしていました。8月には、グループが「仕事に戻る」と改めて表明し、9月の感染の波がその主張を迅速に裏付けました。
RaaSエコシステムの驚異的な回復力
LockBitの作戦の迅速な回復は、ランサムウェアの状況における重大な脆弱性を浮き彫りにしています。それは、高度な法執行機関による妨害キャンペーンでさえ、確立されたRaaS(Ransomware-as-a-Service)エコシステムを恒久的に解体することは困難であるということです。LockBitの成熟したインフラ、サイバー犯罪者の間での確固たる評判、そして経験豊富なアフィリエイト基盤が、以前のテイクダウンにもかかわらず、迅速な再構築を可能にしました。
技術的進化とマルチプラットフォーム対応
LockBit 5.0は、検出期間を最小限に抑えつつ影響を最大化するように設計された、いくつかの重要な技術的強化を導入しています。この新しい亜種は、Windows、Linux、ESXi環境をサポートするようになり、攻撃者がハイブリッドおよび仮想化されたインフラストを同時に侵害できるという重要な拡張です。観測された攻撃の約80%がWindowsシステムを標的としていましたが、約20%はESXiおよびLinux環境に焦点を当てていました。
LockBit 5.0の主な改良点
- より強力な分析妨害メカニズム:フォレンジック調査を妨害します。
- 最適化された暗号化ルーチン:防御側の対応時間を劇的に短縮します。
- ランダム化された16文字のファイル拡張子:検出を困難にします。
- アフィリエイトコントロールパネルのアップグレード:参加者ごとに個別化された認証情報で管理機能が強化されています。
- 参加費:アフィリエイトは、コントロールパネルと暗号化パッケージにアクセスするために、約500ドル相当のビットコインを預ける必要があります。これは、排他性を維持し、参加者をフィルタリングするための仕組みです。
更新された身代金要求メモ
更新された身代金要求メモでは、亜種がLockBit 5.0として識別され、盗まれたデータの公開までの標準的な30日間の期限とともに、パーソナライズされた交渉リンクが含まれています。
今後の課題と対策
LockBitの再出現は、サイバーセキュリティ業界にとって重大な課題を示しています。注目を集める法執行機関の取り締まりにもかかわらず、高度なランサムウェア作戦は驚くべき回復力を持っています。このグループの復活は、9月に特定された被害者が、より広範なキャンペーンの初期段階に過ぎない可能性を示唆しています。10月のアンダーグラウンドフォーラムの活動と新たな被害者の開示が、LockBitが完全な作戦回復を達成したのか、それともその復活が継続的な摩擦に直面するのかを最終的に決定するでしょう。
組織は、ネットワーク境界保護、エンドポイント脅威防御、およびすべてのインフラタイプにわたる高度な検出機能を含む、多層防御を優先する必要があります。LockBitがWindows、Linux、および仮想化プラットフォームを侵害する能力を実証したことは、完全なテクノロジースタックに対応する包括的なセキュリティ戦略を要求しています。