今度の投稿では、 LockBit 3.0 ランサムウェア 攻撃の事例を分析し、実際の攻撃が実行される行為とそれを防ぐ方法を説明します。

LockBit 3.0 ランサムウェア とは?

LockBit 3.0 ランサムウェア(LockBit Black)とは、ランサムウェア犯罪組織のLockBitが作ったランサムウェアです。2019年の9月に初攻撃が発生し、アップグレードされたLockBit 2.0では2021年の7月末まで活動し続けてきました。このグループは世界中の企業に対して多大な損害を与え、2022年の7月上旬、LockBit 3.0でバージョンアップして再び登場しました。LockBit 3.0プログラムに感染されると、他のランサムウェア攻撃と同様に感染されたデバイスの全てのファイルが暗号化され、感染されたデバイスのデータを復旧あるいは流出を防ぐためには身代金(Ransom)を払えと要求します。

履歴書に偽装したLockBit 3.0 ランサムウェア配布のメール

2022年9月14日、ある企業のメールに次のような履歴書メールが受信されました。メールのタイトルは「水原健太郎」で人と名前のような形をしていました。メールは入社の申し込みをするために履歴書を送るという内容でした。下のメールはLockBit 3.0ランサムウェアの悪性コードを配布するために履歴書に偽造された攻撃メールでした。CIPチームは、その攻撃メールと添付されたランサムウェアの悪性コードを分析してみました。

メールの内容は入社の申し込みに関する内容ですが、詳しく見ると文章の文脈が合っていなかったり、文法が間違っている部分が多いです。企業の入社志望のメールを書くときは特に文法に気を付けるのが普通ですが、上のメールはまともな入社志望者のメールだとは言えないほど文法がめちゃくちゃです。また、別の添付ファイルもなく、「ポートフォリオ確認」というテキストにファイルダウンロードのリンクが入れてあります。

LockBit 3.0 ランサムウェア 攻撃を受けたPCの壁紙。ファイルが全て暗号化され、TXTファイルを実行しろというメッセージが書いてある

ランサムウェアノートに入ったLockBit 3.0ダークウェブサイト

壁紙の内容によってREADME.txtというファイル名のランサムウエアノートを探して実行してみると、次のような内容が示されます。

身代金を払わないとデータをTorダークウェブサイトに流出させるという脅迫と共にLockBit 3.0ダークウェブサイトのリンクが添付されています。テキストファイルに案内されたIDでリンクにアクセスし、身代金を払うことを要求する内容です。OnionのリンクにアクセスするためにはTorブラウザを使わなければなりませんが、このランサムウェアの開発者はご親切にドメインの最後の部分に「.ly」を付け、別のブラウザを設置しなくてもアクセスができるようにしました。

https://www.criminalip.io/ja/domain/report?scan_id=2173185&query=http%3A%2F%2Flockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrjtss7li4fyd.onion.ly

実際LockBit 3.0ダークウェブサイトのアクセス画面。感染されたサイトや解読の制限時間が示される

スクリーンショットを見ると、LockBit 3.0のウェブサイトにみえるロゴや文句が確認され、感染された様々なサイトの暗号解読の制限時間が示されています。

LockBit 3.0 悪性コード ファイルの攻撃行為の分析結果

CIP チームはLockBit 3.0ランサムウェア攻撃に使われたexeファイルの攻撃行為を分析しました。

VirusTotal LockBit 3.0 悪性コード ファイルの分析結果

履歴書5.exe ファイルの行為を把握するためにVirusTotalにファイルをアップロードした結果は次の通りです。

合計71個のAnti Virusワクチンのうち、44個のワクチンが「履歴書5.exe」ファイルをウィルスで検知し、「13.107.4.52」のIPアドレスが5回関連したことを確認できます。

96F1.tmp ファイルに対するVirusTotalの分析結果。Execution Parents結果が多数確認される

96F1.tmp ファイルの場合、Drop Fileではなく、Execution Parentsに該当するファイルが多数確認されました。

すなわち、LockBit 3.0ランサムウェアの攻撃実行の順番は「履歴書5.exe」ファイルがDropper(特定ファイルを使用者が認知しない間にダウンロードして実行)の役割をし、96F1.tmp(実行ファイル)を通じてランサムウェアが動作する仕組みであることが分かります。

96F1.tmpにも「履歴書5.exe」と同様に13.107.4.52のIPアドレスが連関されていて、二つのファイルに同じIPが連関されたとみえます。該当IPアドレスは攻撃者が使う感染されたゾンビサーバーのC2(Command&Control server)だと類推できます。

Criminal IP IT資産検索の分析

LockBit 3.0 ランサムウェアの実行ファイルを分析して確認されたC&Cサーバーと推測されるIPアドレスをCriminal IP IT資産検索に検索してみました。

LockBit 3.0 攻撃に使われたC2サーバーと推定されるIPアドレスのIPインテリジェンス結果

IP インテリジェンスの分析結果、KISA、MISPなどでBlacklist IPとして登録されているCriticalなIPアドレスと判断され、Whois情報のAS NameとOrganization NameにMicrosoft Azureの企業情報を偽称していました。

企業のセキュリティ担当者はLockBit 3.0ランサムウェア攻撃行為の分析内容に従い、下記のチェックリストを常時にチェックする必要があります。

  1. LockBit 3.0 ランサムウェア悪性コードに関わったIPアドレスをセキュリティシステムのBlacklistに登録する
  2. 履歴書などのメールを送信された際、内容に疑わしいところがあるか確認し、疑わしいファイルが添付されている場合は閲覧しない
  3. 不明な出所の添付ファイル、URLリンクを開くならCriminal IPドメイン検索に検索してドメインの安全性を先に確認する
  4. 疑わしいファイルの場合、VirusTotalにアップロードして安全なファイルか確認する

現在、グループ内の開発者により流出されたLockBit 3.0ビルダーソースコードのため、数多くのハッカーが独自的にこのような攻撃を行う恐れがあります。企業のセキュリティ担当者はBlacklist IPを最新化すると伴い、脅威インテリジェンスを用いて受けたメールの疑わしいリンクやアクセスするドメインが悪性かどうかなどを必ず点検すべきです。関連してはDDos攻撃に対してIPインテリジェンスで対応する方法についての投稿をご参照ください。


データの提供:Criminal IP (https://www.criminalip.io/ja)