LockBit ランサムウェア攻撃者は 2020 年以降 9,000 万ドル以上を稼いだ

悪名高いサービスとしてのランサムウェア (RaaS) 活動である LockBit は、2020 年以来数百件の攻撃を通じて、米国のさまざまな組織から 9,100 万ドルという驚異的な金額を巻き上げることに成功しました。 米国サイバーセキュリティおよびインフラストラクチャを含む複数の国際当局が発行する共同速報安全保障局 (CISA) と FBI は、LockBit によって引き起こされた被害の程度を明らかにしました。

この速報では、LockBit が RaaS として動作し、そのプラットフォームを使用してアフィリエイトを誘惑してランサムウェア攻撃を実行していることが明らかになりました。これにより、異種の脅威アクターのネットワークが多様な種類の攻撃を実行するようになりました。 2019 年後半に出現した LockBit は、その破壊的かつ多産的な性質を維持しており、Malwarebytes の統計によれば、2023 年 5 月だけで最大 76 人の被害者が標的となったことが示されています。このランサムウェア犯罪組織はロシアと関係があると考えられており、これまでに1,653件以上のランサムウェア攻撃に対する犯行声明を出している。

LockBit は、金融、農業、教育、エネルギー、政府、医療、製造、運輸などの業界を対象として、重要なインフラ分野を容赦しませんでした。 2021年6月のLockBit Red、2022年3月のLockBit Black、2023年1月のLockBit Greenなど、大幅なアップグレードが行われており、後者は解体されたContiギャングから漏洩したソースコードに基づいています。このランサムウェアは、Linux、VMware ESXi、Apple macOS システムをターゲットとする範囲も拡大しており、継続的に進化する脅威となっています。

LockBit のビジネス モデルには、攻撃や恐喝を実行する関連会社にランサムウェア ツールをリースすることが含まれます。珍しいことに、このグループは、コア開発者と一部を共有する前に、アフィリエイトが身代金の支払いを直接受け取ることを許可しています。

LockBit はさまざまな脆弱性を利用します

LockBit によって組織された攻撃は、最近明らかになった Fortra GoAnywhere マネージド ファイル転送 (MFT) および PaperCut MF/NG サーバーの欠陥を含む、さまざまなシステムの脆弱性を悪用しました。さらに、Apache Log4j2、F5 BIG-IP および BIG-IQ、Fortinet デバイスの既知の脆弱性が初期アクセスに悪用されています。

LockBit の関連会社は、30 を超えるフリーウェアとオープンソース ツールを利用して、ネットワーク偵察を実施し、リモート アクセスを確立し、資格情報のダンピングを実行し、ファイルを窃取してきました。注目すべきことに、Metasploit や Cobalt Strike などの正規のレッド チーム ソフトウェアもこれらの侵入で悪用されています。

LockBit の成功は、その絶え間ない革新、特に技術的専門知識が限られた個人向けにランサムウェアの展開を簡素化するユーザーフレンドリーな管理パネルに起因すると考えられます。このグループは、常に先を行くために戦術、技術、手順 (TTP) を改訂しています。

この脅威に対応して、CISA は連邦政府機関に対し、公共のインターネットにさらされているネットワーク デバイスを保護し、攻撃対象領域を最小限に抑えるよう指示する拘束力のある運用指令を発行しました。この指令は、攻撃者がネットワーク デバイスを利用して組織ネットワークに無制限にアクセスするリスクを軽減することを目的としています。

さらに、最近の勧告では、ベースボード管理コントローラー (BMC) の実装に関連する潜在的なリスクが強調されており、BMC は脅威アクターに足場と起動前実行機能を提供する可能性があります。