LOCKBIT ランサムウェア
はじめに
LockBitと言うランサムウェアは、以前にはABCDランサムウェアとして知られ、最初に発見されたのは2019年、フィッシングメールで配布され、外部に露出したマシンにブルートフォース攻撃を仕掛けるというものでした。
LockBitランサムウェアに関わる攻撃は、頻繁で、米国、中国、インド、インドネシア、ウクライナ、欧州諸国など多くの国の中規模から大規模な組織を標的にすると記録されています。
LockBitのアクティブな亜種・変異型に対する復号プログラムはなく、平均身代金要求額は57,600ドル、ランサムウェアのノートに記載されたTORチャットリンクのアドレス経由で支払うことができます。
手口
1. 初期アクセス
脅威アクターが使用する感染ベクターはフィッシングメールと攻撃目標の外部に露出したサーバへのブルートフォース攻撃です。感染したマシンへのアクセスを得て侵入するとすぐに、リモートのPowerShellスクリプトを実行し、それがC&Cサーバと接続する厳重に難読化したGoogleスプレッドシート文書からまた別のスクリプトをダウンロードし、PowerShellモジュールを読み出してインストールし、これがバックドアのインストーラモジュールとなります。PowerShellを多用する間、脅威アクターはPowerShellのコピーとMicrosoft HTML Application Host(mshta.exe)を実行するために使用するバイナリの名前を変更し、監視をすり抜けます。バックドアがインストールされた後、Task Schedulerを作成し、VBScriptを実行して、別のC&Cサーバから2つ目のバックドアをダウンロードし、感染したマシンが再起動するときには、この2つ目のバックドアを実行します。
2. インストール
脅威アクターは、次にPowerShellコマンドを実行して、これが.pngを読み出すのですが、これは感染したウェブサイトからの.NETローダで、これが最終的にLockBitのペイロードをダウンロードするために使われます。ペイロードはAESで暗号化されたbase64文字列で、復号されて、その後、復号されたペイロードをコンパイルして実行する前に、.NETローダがvbc.exeをチェック、もしくはvbc.exeをダウンロードします。次にLockBitがプロセスハロウイング(process hollowing)というテクニックを使ってメモリにロードされ、そこでLockBitが新しいプロセスを保留状態で作成し、保留になっているプロセスを再開する前に、悪意あるコードをそのプロセスに書き込みます。LockBitはシャドウコピーがないか、ネットワークをスキャンし、見つかれば削除します。また、あらかじめ定義されたサービスとプロセスの名前のリストから、ウィルス対策、データベース、バックアップ、ドキュメント編集ソフトウェアに関するプロセスは終了し、サービスは止めます。
3. 暗号化
LockBItランサムウェアはAESとRSA暗号化アルゴリズムを攻撃目標のすべてのファイルを暗号化するのに使います。LockBitがファイルを暗号化している間、標的のネットワーク全体をスキャンし、SMBポート445番を使って他のマシンへの接続も試み、別のマシンへの接続に成功すると、PowerShellスクリプトを実行して、LockBitマルウェアをこの別のマシンにダウンロードするので、ランサムウェアは標的のネットワーク全体に広がります。
