LockBit 5.0の登場と進化
LockBitは、2019年のABCDランサムウェアとしての出現以来、世界で最も支配的なRaaS(Ransomware-as-a-Service)グループの一つであり続けています。2024年初頭の国際法執行機関による摘発や2025年5月のアフィリエイトパネルの漏洩といった大きな打撃にもかかわらず、グループはコードベースの更新、アフィリエイト運用の拡大、そして業界全体の組織を標的とした大規模な攻撃を継続しています。
Flashpointは、初期の.abcd暗号化ツールから、より高速でステルス性の高いLockBit 3.0、そしてContiにインスパイアされたLockBit Greenに至るまで、LockBitの数々の進化を追跡してきました。そして今回、バージョン5.0では、回避、モジュール性、破壊的影響を最大化することを目的とした、洗練された二段階ランサムウェア展開モデルを導入しました。
この分析は、LockBit 5.0がどのように機能し、何が変更されたのか、そしてなぜ防御側がこの最新の進化を、摘発や漏洩の後でもランサムウェアグループが後退するどころか、より速く革新している明確な兆候として捉えるべきかを概説します。
LockBit 5.0の主要な変更点と新機能
Trend Microが2025年9月下旬にLockBit 5.0の出現を最初に報告しましたが、Flashpointの分析は、このグループがゼロから始めるのではなく、既存のv4.0コードベースを基盤としていることを確認しています。RC4を使用したランサムノートの復号化、おなじみのファイル暗号化方法、地理的実行制限、さらには「information」のスペルミスがある再利用されたランサムノートなど、多くのコア機能は残されています。
しかし、LockBit 5.0はいくつかの新しい、またはアップグレードされた機能を導入しています。
- モジュール式の二段階アーキテクチャ: ローダーと主要ペイロードを分離。
- 拡張されたアンチ分析機能: 制御フローの難読化とAPIハッシュ化。
- 積極的なEDRバイパス: プロセスホローイング、アンフックされたライブラリ、ETWパッチ適用を使用。
- ステルス実行モード: ファイル拡張子やランサムノートを省略。
これらの更新は、LockBitの開発者が、グループのおなじみのツールとアフィリエイトモデルを維持しつつ、圧力下でも運用を継続し、技術的な防御を反復していることを示しています。
二段階実行モデルの詳細
LockBit 5.0の核心は、その新しい二段階実行モデルにあります。第一段階はステルス性と生存性を目的としたローダーとして機能し、第二段階は柔軟な展開、標的型破壊、および多層的な回避のために設計されたコアランサムウェアペイロードを実行します。
第一段階: ステルスローダーとEDR回避
第一段階のローダーの主な機能は以下の通りです。
- 制御フローの難読化: コードがジャンプ先を動的に計算し、従来の逆アセンブルやリバースエンジニアリングを困難にします。
- 動的API解決: マルウェアはハードコードされたAPI名を避け、カスタムハッシュアルゴリズムを使用して実行時に関数呼び出しを解決します。
- ライブラリのアンフック: NTDLLとKernel32のクリーンなコピーをディスクから再ロードし、セキュリティツールによってメモリに配置されたフックを上書きします。
- カスタムシェルコードトランポリン: 解決されたAPI呼び出しに実行をリダイレクトし、標準的な検出方法をバイパスします。
ローダーはその後、defrag.exeのサスペンドされたインスタンスを作成し、プロセスホローイングを使用して復号化されたペイロードを注入します。Flashpointのアナリストは、第二段階のペイロードがZwWriteProcessMemoryを使用してメモリに書き込まれ、命令ポインタが更新され、デフォルトのセキュリティアラートをトリガーすることなくプロセスが実行を再開することを確認しました。
第二段階: 破壊的なランサムウェアペイロード
第二段階は主要なランサムウェアペイロードです。Flashpointはこれを「ChuongDoung Locker v1.01」とラベル付けされたバイナリとして観測しました。これには、おなじみのLockBit機能と新しい破壊的オプションの両方が含まれています。
- 多様なコマンドラインスイッチ: さまざまなコマンドラインスイッチをサポートし、目に見える影響の有無にかかわらず実行できます。
- 「破壊のみ」モード: ファイル拡張子を変更したり、ランサムノートを表示したりすることなく、ファイルをサイレントに暗号化します。これは報復的または純粋に破壊的なキャンペーンに使用される可能性があります。
- 広範な暗号化: ローカルドライブ、特定のディレクトリ、およびネットワーク共有の暗号化。
- マルチスレッド暗号化: Curve25519キーとXChaCha20暗号を使用したマルチスレッド暗号化。
- 継続的なライブラリのアンフック: ロードされるすべてのDLLに対して繰り返し実行されます。
- システムサービスの無効化: VSS、WSearch、Edgeupdateなどのシステムサービスを無効にします。
- ファイルとディレクトリの除外: OSの機能を維持し、検出を回避します。
- ランサムノート: RC4を使用して復号化され、
ReadMeForDecrypt.txtとして書き込まれます。 - 地理的実行制限: 実行前に、被害者のマシンがロシアまたはロシア同盟国にないことを確認し、興味深いことに、フィリピンに所在するシステムでの実行を回避します。Flashpointはこの挙動について引き続き調査しています。
防御側への影響
LockBit 5.0は、ランサムウェア開発におけるより広範な変化、すなわち圧力下でのプロフェッショナル化を反映しています。制裁、漏洩、逮捕にもかかわらず、このグループは大規模に活動を続けています。
セキュリティチームは、早期警告信号のために不正なフォーラムや侵害サイトを監視し、脆弱性インテリジェンスとランサムウェアグループの好みを関連付けてパッチ適用を優先し、ETWパッチ適用やライブラリのアンフックなどの回避行動を特定するために行動検出を使用し、攻撃が発生する前に交渉プロトコル、オフラインバックアップ、法的ガイダンスを事前に準備した、カスタマイズされた対応プレイブックを用意する必要があります。
今回のリリースは、2025年5月に内部LockBitデータが漏洩し、アフィリエイトアカウント、ランサムウェアビルド、被害者とアフィリエイト間のランサム交渉が露呈した後に続いています。防御側にとって、これは、侵害の兆候だけでなく、そのツール、戦術、技術、手順によってランサムウェアグループを追跡することの重要性を再認識させるものです。
LockBit 5.0は、ランサムウェアが消滅するのではなく、適応していることの最新の証拠です。先手を打つ最善の方法は、一次情報、行動分析、および協調的な準備を融合させることです。