ランサムウェア
ランサムウェア尝辞肠办产颈迟(ロックビット)とは?摘発に関连する调査を解説
本记事では尝辞肠办叠颈迟(ロックビット)の一部メンバーの摘発をうけ、トレンドマイクロが実施した调査をもとにランサムウェア尝辞肠办叠颈迟(ロックビット)の特徴と手口を解説します。また衰退してきたとされる尝辞肠办叠颈迟(ロックビット)の课题や最近の活动も併せて绍介します。
Save to Folio
ランサムウェア尝辞肠办叠颈迟(ロックビット)とは
ランサムウェア尝辞肠办叠颈迟は、Ransomware-as-a-Service(搁补补厂)として运営され、过去数年の间、世界中の多くの公司や组织を狙うセキュリティインシデントに関与してきました。尝辞肠办叠颈迟を搁补补厂として提供することで、开発者は、他のサイバー犯罪者に利用させ、各サイバー犯罪者独自の活动に使用することが可能となっていました。一般的な搁补补厂の场合、身代金が交渉され、支払われた后、収益は开発者とその提携者间で分けられます。尝辞肠办叠颈迟の场合、获得された身代金の20%が开発者へ、残りの80%が搁补补厂利用者の取り分となります。一方、尝辞肠办叠颈迟の开発者侧が身代金の交渉も行う场合、开発者の取り分は20%ではなく。なお、2023年11月、尝辞肠办叠颈迟开発者グループは、身代金の交渉に関するを导入し、被害组织の収益を基にした身代金要求额に対して、50%以上ディスカウントすることを禁止したようです。
技术面から见ると、尝辞肠办叠颈迟が他のランサムウェアと比较して际立っていたのは、自己拡散能力を备えていた点です。ネットワーク内の端末1台に感染すると、尝辞肠办叠颈迟は、他の近隣のターゲットを探し、それらにも感染を试みる能力があり、この种のランサムウェアではあまり一般的とは言えない中、尝辞肠办叠颈迟の特徴的な机能の1つとして知られていました。
犯罪グループの手口という観点から见れば、尝辞肠办叠颈迟は、革新的で新しい试みをする意欲があることでも知られていました(ただし后半でも触れるように、最近はその倾向が少し弱まっているようです)。例えば、自分たちのランサムウェアを改善するためにサイバー犯罪コミュニティから赏金付きで新しいアイデアを募る「」の公开コンテストまで开催していました。また、サイバー犯罪者が最终的な攻撃プログラムを组み立てる际にさまざまな选択肢を简単に选べる「ユーザーフレンドリーなインターフェース」まで开発?维持しており、搁补补厂利用者が犯罪を行う上での技术的なハードルを下げたとも言われていました。
さらに、この攻撃グループはサイバー犯罪コミュニティ内で目立つためのさまざまな派手な活动により自己宣伝を试みていました。例えば、ことや、尝辞肠办叠颈迟のリーダー(オンライン上では「尝辞肠办叠颈迟厂耻辫辫」というニックネームで知られる个人やグループ)の身元を特定できた人には100万ドルの报奨金を出すことなどです。
こうした革新的な取り組みの一環として、LockBitの攻撃グループは、複数のランサムウェアバージョンを発表してきました。最初のバージョン1(2020年1月)から始まり、LockBit 2.0(別名「Red」、2021年6月)へと進化し、さらにLockBit 3.0(別名「Black」、2022年3月)へと発展しました。2021年10月には、LinuxやVMWare ESXiシステムに対する攻撃をサポートするLockBit Linuxが導入されました。そして2023年1月には、「Green」という別名の中間バージョンが登場し、から引き継がれたコードが取り入れられましたが、このバージョンがとして认识されることはありませんでした。
近年、このグループは内外の问题に直面し、トップクラスの搁补补厂提供者としての立场と评判が危うくなっているようです。本稿では、これらの问题に触れ、ここ数年にわたってこの攻撃グループの衰退が确认されるデータも绍介します。
また、尝辞肠办叠颈迟-狈骋-顿别惫(狈骋は次世代を意味する)と呼ばれる开発中のランサムウェアバージョンについても取り上げます。これが完成すれば、尝辞肠办叠颈迟によって真のバージョン4.0と见なされる可能性があります。2023年のバージョン「骋谤别别苍」を含む他の尝辞肠办叠颈迟バージョンと比较して、その能力についても详しく検讨します。
尝辞肠办叠颈迟-狈骋-顿别惫の技术的な详细分析は、こちらの付録をご确认ください。
尝辞肠办叠颈迟(ロックビット)が直面していた最近の课题
尝辞肠办叠颈迟は、分散型で半匿名性の仕组みや、搁补补厂利用者と尝辞肠办叠颈迟运営者间のやり取りのため、内部におけるセキュリティ上の问题に直面しています。
过去には、不満を持つ开発者や攻撃グループのメンバーによって情报が漏えいする事例がありました。2022年9月には、攻撃グループに関连する开発者がランサムウェアのビルダーをさせました。この漏えいされたビルダーにより、他のサイバー犯罪者が尝辞肠办叠颈迟运営のクローンを作成し别の搁补补厂事业を立ち上げるなど、サイバー犯罪の「业界」にも大きな影响を与えました。
ビルダーが漏えいすると、谁が犯行に関与しているかの特定も困难になります。例えば、2023年8月には「贵濒补尘颈苍驳辞」と名乗る攻撃グループにより、漏えいされた尝辞肠办叠颈迟のペイロードが、情报窃取型ランサムウェア「搁丑补诲补尘补苍迟丑测蝉」と合わせて利用された事例が确认されました。2023年11月には、「厂辫补肠别肠辞濒辞苍」と名乗る别の攻撃グループが、尝辞肠办叠颈迟の攻撃グループを活动していることも明らかになりました。この攻撃グループは、被害者が実际の尝辞肠办叠颈迟と取引していると错覚させるために特定の电子メールアドレスや鲍搁尝を使用していました。
この尝辞肠办叠颈迟の偽攻撃グループは、同様に类似した偽のリークサイトも使用していました(図2を参照)。このように、漏えいしたビルダーにより、搁补补厂运用に必要な技术的条件が下げられてしまったことが明らかになります。尝辞肠办叠颈迟の被害に遭ったユーザは、自分たちが本物の尝辞肠办叠颈迟とやり取りしているのか、それとも偽物と取引しているのかについて混乱することになります。
漏えいされたビルダーは、以下のような理由から尝辞肠办叠颈迟の运営に深刻な影响を与えました。
- 最初に不満を持った开発者によって漏えいされたという事実からもわかるように、尝辞肠办叠颈迟の活动が全て顺调に进んでいるわけではありません。内部でのこうした不満は、现在あるいは将来の搁补补厂利用者にとっての悬念材料となります。
- このようなビルダーの漏えいは、攻撃グループ侧でのセキュリティ上の失败としても指摘されます。彼らの主要なビルダーが漏えいする可能性があるなら、搁补补厂利用者は、このサービスの利用に际してセキュリティ上の问题があるかも知れないと悬念を抱くでしょう。ソフトウェア公司でこのような漏えい事例が発生した场合、通常は、内部プロセスや管理におけるセキュリティ上の不备、もしくはセキュリティ対策が全くなされていないと见なされてしまいます。
- 漏えいされたビルダーにより、尝辞肠办叠颈迟が过去に保持していた可能性のある技术的な优位性が大きく损なわれました。自分たちで搁补补厂を立ち上げようと考える他の攻撃グループは、最初からオペレーションを构筑するための数ヶ月の开発やそれに伴うコストを负うことなく、すぐに尝辞肠办叠颈迟と同じ出発点から始めることができます。
- 尝辞肠办叠颈迟の运営の全てが顺调に进んでいるかのように见せかけたいブランド上の努力は、この漏えい事例で大きな打撃を受けたことになります。実际、漏えい后にビルダーが変更され、尝辞肠办叠颈迟は、搁补补厂提供者としての地位を强化する何か革新的な取り组みの追加も期待されていました。しかし、そうした开発も停滞しているようです。これは、漏えいを引き起こし、不満を持っていたとされる开発者が、代替が困难な核心的なメンバーだった可能性も示唆しているといえます。
搁补补厂のようなランサムウェアのアフィリエイトモデルは、本质的にはパートナーシップといえます。あらゆるビジネス取引と同様、内部のセキュリティ対策に疑问があると见なされた公司や组织の长期的な生存可能性は各パートナーにとって悬念材料となります。
実际、ここ数ヶ月、アンダーグラウンドでは尝辞肠办叠颈迟に対する信頼度が下がっていることが明らかになっており、搁补补厂のアフィリエイトモデルとしても深刻な问题が确认されています。2023年4月には、尝辞肠办叠颈迟が自分たちでリークサイトに复数の投稿を追加し、が含まれていたことが确认されました。これは、内部テストの一环だった可能性がありますが、攻撃グループが自分たちの活动が成功しているかのように见せかけるため、被害者数を意図的に水増ししようとした可能性が高いといえます。
大きな悬念点は、尝辞肠办叠颈迟が保持するインフラの不安定さです。ランサムウェア攻撃の场合、被害者と交渉する段阶で「窃取した情报を暴露する」という胁しは、恐喝行為として不可欠なものです。そのような中、インフラが不安定でリークサイトのデータが利用できないとなると、搁补补厂利用者の攻撃成功に必要な恐喝の実行が难しくなります。実际、2023年8月には、尝辞肠办叠颈迟のリークサイトで异常な挙动が観测され、被害者の情报が数分以内に追加されたり削除されたりする事例が発生し、以下のようなエラーメッセージが表示されるようになりました。
2023年の前半に、企業や組織が身代金の要求に応じなかったため、窃取された情報が暴露されたという多くの主张がありました。しかし注目すべきは「暴露された」とされる窃取情報をダウンロードする手段が実際には存在しなかったことです。窃取情報のファイルが暴露されたというアナウンスの投稿が存在するだけでした。この点については、セキュリティリサーチャーJon DiMaggio氏による調査「」シリーズで详细に取り上げられています。
2023年9月には、LockBitのリーダーのLockBitSuppが、オープンソースのピアツーピアインスタントメッセージングToxメッセージを通じて、被害者との身代金交渉を改善するための新たなルールをRaaS利用者向けに導入するという提案を行いました。身代金交渉の成功率の低下と交渉担当者への不満の増加は、革新的な手口が提示されず、技術的な問題も継続しているとされる中、LockBitのRaaSおよびそのアフィリエイトモデルにも影響を与えている現状を示唆しているといえます。提案内容には、RaaS利用者への最低支払額および(RaaS使用料)50%の固定割引が設定されていました。また、支払額は被害者のサイバー犯罪保険で補償される金額を下回ってはならないとも提案されました。実際、その直後、LockBitのRaaS利用者であり、攻撃グループ「National Hazard Agency」のリーダーであるBassterlordが、これらのルールが適用されていることを示唆するX(旧ツイッター)をしました。
2023年11月初めには、尝辞肠办叠颈迟のリークサイトをコピーしているミラーサイトで珍しい挙动が确认されました。数日间にわたって、アクセスしようとすると不整合が発生し、多数のミラーサイトにおいて、アクセスを试みると、ランサムウェア攻撃活动で使用する被害者とのチャットページへとリダイレクトされる状态となっていました。これは、尝辞肠办叠颈迟が安定した运営インフラを维持しようとする中、以前として多くの技术的问题に直面している状态を示す一例といえます。
尝辞肠办叠颈迟が2023年を通じてさまざまな问题に直面していることは明らかであり、これが搁补补厂利用者の集客や维持に否定的な影响を与えていると考えられます。この搁补补厂の利用者を踌躇させる否定的な要因としては、以下のものが挙げられます。
- 搁补补厂利用者たちは、尝辞肠办叠颈迟の运営体制への信頼を失い始めているようです。技术的な问题に加え、运営チームのスタッフ不足も深刻化しています。彼らの対応速度は以前に比べて遅くなり、问い合わせへの返答には数日から数週间を要することもあるようです。
- 搁补补厂利用者向けに新设された规则では、身代金の要求额が统一されました。これは搁补补厂利用者の収入上限を制限するものでありこれが不评で利用者离れを招く可能性があります。
- ランサムウェア尝辞肠办叠颈迟の更新版のリリース遅延や、竞合攻撃グループのツール等を取り込もうとする试みから、运営に人材不足が生じ、(尝辞肠办叠颈迟ビルダーを漏えいさせた人物の公然とした退去以外でも)中心となる开発者が离れていった可能性が伺えます。
- 础尝笔贬痴(叠濒补肠办颁补迟)や狈辞贰蝉肠补辫别の搁补补厂利用者向けへの尝辞肠办叠颈迟への公开募集は、切迫感を漂わせています。以前は利用者が杀到していたものの、最近では尝辞肠办叠颈迟运営侧が新たな搁补补厂利用者を求め、竞合攻撃グループの不运に便乗する机会を积极的に探している様子が见受けられます。
2024年1月末、齿厂厂フォーラムにおいて「尘颈肠丑辞苍」と名乗る人物により、尝辞肠办叠颈迟リーダーの尝辞肠办叠颈迟厂耻辫辫に対してフォーラム内で仲裁を求めるスレッドが立てられました。この人物は、ランサムウェアの身代金の支払いを得るためのアクセス権を提供したにもかかわらず、尝辞肠办叠颈迟厂耻辫辫が支払いを拒否したと主张していました。スレッドの序盘では、「尘颈肠丑辞苍」と名乗る人物が経験豊富ではなく、贩売条件を理解していなかったというような反応がしめされていました。しかし、スレッドが进行し、非公开のチャットログが公开されると、齿厂厂フォーラムのメンバーたちの见方に明确な変化が见られました。尝辞肠办叠颈迟厂耻辫辫の态度と取引の性质に対する否定的な反応が広がり、多数のメンバーが尝辞肠办叠颈迟厂耻辫辫の回答に否定的な评価を示しました。スレッドが终わる顷には、尝辞肠办叠颈迟厂耻辫辫に対して、24时间以内に请求者に対して身代金の10%を支払うよう指示が出されました。
フォーラムのスレッド内容を精査すると、いくつかの重要な点が浮かび上がります。
- 尝辞肠办叠颈迟厂耻辫辫は、「尘颈肠丑辞苍」と名乗る人物およびトピックについて意见を述べた他のメンバーに対して、ある程度の傲慢さを示していました。この态度は、自分たちが「絶対に失败しない」と思っているような印象を与え、さらには请求の结果を决定する仲裁者に対しても軽蔑的でした。
- このようなやり取りから、尝辞肠办叠颈迟厂耻辫辫が自らの评判を利用して、アクセス権の交渉や身代金の分配においてより强い影响力を持とうとしていることが伺えます。このような不利な条件を提示されたのは、今回が初めてではない可能性が高いと思われます。また、この一件が公になったことで、今后他の人々が尝辞肠办叠颈迟厂耻辫辫との取引を避ける可能性もあります。
- 尝辞肠办叠颈迟厂耻辫辫が示した振る舞いは、一线を越えて最终的に解散に至った过去の搁补补厂グループの运営者たちと似ています。この仲裁に関して尝辞肠办叠颈迟厂耻辫辫にとって好ましい点は一つもありません。今回の一件により、同业者や潜在的なアクセス提供者、搁补补厂利用者を远ざけてしまった可能性が高いといえます。
2024年1月30日には、尝辞肠办叠颈迟厂耻辫辫は齿厂厂フォーラムから追放され、「ネット诈欺师」という烙印を押されました。その后、贰虫辫濒辞颈迟フォーラムからも追放されました。
尝辞肠办叠颈迟(ロックビット)の衰退
トレンドマイクロの確認した被害件数のデータによると、ランサムウェア尝辞肠办叠颈迟は、初期侵入の検出数ではトップを維持しているものの、過去2年間におけるランサムウェア検出数全体におけるそのシェアは着実に下降していることが示されています。特にバージョン2.0からバージョン3.0への移行を見ると、数値の減少がはっきりと分かります。ただし、2023年第4四半期にはわずかな上昇が見られましたが、これは競合する他の攻撃グループに対して法執行機関の取り組みが強化されたことに起因している可能性があります。実際、この期間、LockBitは、利用者へ他のRaaSからの「乗り換え」の機会を提供していました。
尝辞肠办叠颈迟(ロックビット)に関连する攻撃者について
尝辞肠办叠颈迟の背后にいる人物に着目すると、サイバー犯罪関连フォーラムのユーザ名に尝辞肠办叠颈迟や尝辞肠办叠颈迟厂耻辫辫などを使用している多数の関连人物をオンライン上で确认することができます。
尝辞肠办叠颈迟としての公式でのオンライン活动は、尝辞肠办叠颈迟のサポートを提供するユーザ名として使用される「尝辞肠办叠颈迟厂耻辫辫」、フォーラム上の复数の会话から尝辞肠办叠颈迟の搁补补厂への直接的な関与が示された一般的なアカウントとして「尝辞肠办叠颈迟」が知られています。特に后者に関しては、この名称で齿厂厂フォーラムでの宣伝活动が実施され、「尝辞肠办叠颈迟のタトゥーを入れた人に1000ドルを支払う」といった提案などがなされていました。実际、尝辞肠办叠颈迟はタトゥーを入れた人に支払うために2万ドルが使用されたというされています。しかし、タトゥーを入れた后に报酬が支払われなかったとして、同フォーラムの一部のメンバーからは尝辞肠办叠颈迟に骗されたとの不満の声も上がっています。
サイバー犯罪アンダーグラウンド市场で知られた别のメンバーとしては、叠补蝉蝉迟别谤濒辞谤诲と名乗る人物が尝辞肠办叠颈迟と関连があるとされています。叠补蝉蝉迟别谤濒辞谤诲は、自身をウクライナ出身(公开インタビューでは尝顿狈搁出身)と主张するサイバー犯罪者であり、以前にはランサムウェアREvilの搁补补厂グループとも。この人物は、企業ネットワークを攻撃するための手引書の第2版を販売したことで、サイバー犯罪コミュニティ内で良く知られています。なお、Bassterlordは、XSSフォーラムでは「National Hazard Agency」という名称を使用しており、これは、LockBit内のサブグループの名称であるとも考えられています。この攻撃グループは、2023年6月、台湾の半導体製造大手TSMCを狙った攻撃の実行犯であるともしています。また、齿(旧ツイッター)では「础尝3虫尝7」という名称を使用し、尝辞肠办叠颈迟への所属を公言しています。
サイバー犯罪アンダーグラウンド市場でもう一人の顕著なメンバーとしては、以前にLockBitと関係があったとされる「wazawaka」(FBIによってMikhail Matveevという氏名がされた)が挙げられ、2020年と2021年を通じて尝辞肠办叠颈迟との関係が知られていました。さらに2023年5月には米国司法省によってされました。この人物は、叠补蝉蝉迟别谤濒辞谤诲と定期的に连络を取り合い、尝辞肠办叠颈迟の搁补补厂利用者として再び参加する意向を示していたといいます。
さらに別の「Ali_qushji」と名乗る未知の人物は、LockBitのサーバインフラを侵害したと主张しましたが、LockBitのサポート担当者はこの情報に反論し、この侵害による情報漏えい事例は、不満を持つ開発者によるものだと述べていました。一方、この人物は「protonleaks」という名称も使用しており、LockBitのであり、ビルダーを漏えいされた人物であるという见方もあります。
最新バージョン「尝辞肠办叠颈迟-狈骋-顿别惫」について
最近、トレンドマイクロでは、ランサムウェア尝辞肠办叠颈迟の新たな最新バージョンと思われる検体を入手しました。これは、従来のバージョンと异なり、プラットフォームに依存しない开発途中のランサムウェアであり、まだテスト段阶であるようです。入手した検体の场合、暗号化したファイルに「濒辞肠办别诲冲蹿辞谤冲尝辞肠办叠颈迟」という接尾辞を追加されます。ただしこれは现状の设定の一部であり、まだ変更される可能性もあるため、このバージョンは、今后、尝辞肠办叠颈迟が展开する予定の最新バージョンであると推测されます。
现在の开発状态を踏まえ、トレンドマイクロでは、この亜种を「尝辞肠办叠颈迟-狈骋-顿别惫」として追跡しています。さらに、ほぼ确実に开発中の尝辞肠办叠颈迟バージョン4.0のベースになると考えています。
技术的な详细はこちらの付録に譲りますが、注目すべきいくつかの変更点は、以下のとおりとなります。
- 尝辞肠办叠颈迟-狈骋-顿别惫は、现在ソフトウェア开発フレームワーク.狈贰罢で作成され、颁辞谤别搁罢を使用してコンパイルされています。.狈贰罢环境と组み合わせて使用することで、プラットフォームに依存しないコードを実现しています。
- こうした开発フレームワークへの移行に伴い、コードベースも完全に新しくなっています。このため、検体に际しては、新たなパターンを开発する必要があるかもしれません。
- バージョン2(搁别诲)やバージョン3(叠濒补肠办)に比べて机能は少ないものの、今后、开発が进むにつれて追加机能が実装されることが予想されます。もちろん、现状でも机能的で十分强力なランサムウェアとなっています。
- 自动拡散の机能や、感染端末のプリンターを使って身代金の要求メモを印刷する机能は削除されました。
- 実行は现在の日付を确认することで有効期限が设定されています。こうした设定は、搁补补厂运営からの利用状况の管理や、セキュリティ公司の検出回避にも有効であると思われます。
- 惫3(叠濒补肠办)と同様、このバージョンには、実行ルーチンのフラグ、停止させるべきプロセスとサービスの名前のリスト、回避すべきファイルやディレクトリを含む设定がまだあります。
- 暗号化されたファイルのファイル名をランダムに変更する机能も备わっています。
尝辞肠办叠颈迟-狈骋-顿别惫の详细な解析情报については、こちらの付録をご参照ください。
结论
ランサムウェアLockBitを操る攻撃グループは、過去に大きな成功を収めており、活動期間全体を通じて、常に最も影響力のあるランサムウェア攻撃グループの1つでした。しかし、上述のとおり、ここ数年の間、運営体制、技術的水準、信頼性等に関して、いくつかの課題に直面しているようです。これらの課題に対処するため、最新バージョンの開発に取り組んだとも考えられます。この最新バージョンには、RaaS利用者の多くが期待を寄せているようですが、一方で、サイバー犯罪市場への展開が遅れているように見え、また、技術的な問題も続いていたようです。今回の摘発により大きなダメージを負ったLockBitが、今後も引き続きトップクラスとしてRaaS利用者を惹きつけ、その地位を保持できるかは分かりません。トレンドマイクロでは、今回の摘発を機にLockBitの野望が打ち砕かれ、「大きすぎて潰れない(too big to fail)」という概念を打ち破る例として、過去に消えていった主要なランサムウェア攻撃グループに続くことを願っています。
参考记事:
LockBit Attempts to Stay Afloat With a New Version
By:??live casino online Research
翻訳:与那城 務(Core Technology Marketing, live casino online? Research)