Last Updated on 2024-07-08 07:11 by 門倉 朋宏
LockBit 3.0ビルダーファイルは、カスタマイズされたランサムウェアの生成を可能にし、攻撃者がネットワークへの影響を最大化するための手法を提供する。国際的な摘発作戦によりLockBitグループは一時的に停止され、プライベート復号化キーが入手され、復号化ツールが準備されたが、このツールには制限がある。
リークされたLockBitビルダーを使用した攻撃は、ロシア、イタリア、ギニアビサウ、チリなど複数の国で実施されており、独立したアクターによる攻撃の実施が確認されている。これらの攻撃では、管理者の特権アカウントが悪用され、ネットワークへの拡散が行われている。
ランサムウェア攻撃への予防策としては、強力なアンチマルウェアソリューションの使用、管理型検出および対応(MDR)の導入、未使用のサービスとポートの無効化、システムとソフトウェアの定期的な更新、定期的なサイバーセキュリティトレーニングの実施、バックアップの頻繁な作成とテストが推奨される。
【ニュース解説】
リークされたLockBit 3.0ビルダーを利用して、攻撃者がカスタマイズされたランサムウェアを生成し、ターゲットのネットワークに深刻な影響を与えることが可能になった事例が報告されています。このビルダーは、攻撃者が特定のニーズに合わせてランサムウェアをカスタマイズすることを可能にし、ネットワークの拡散オプションや防御機能の無効化など、攻撃の効果を最大化するための機能を提供します。特に、攻撃者がターゲットのインフラストラクチャ内で有効な特権クレデンシャルを取得している場合、その危険性はさらに高まります。
2024年2月には、国際的な法執行機関によるLockBitグループの摘発作戦が行われ、グループのインフラストラクチャが押収され、プライベート復号化キーが入手されました。これにより、被害者IDリストを基に復号化ツールが準備されましたが、このツールには限界があり、リークされたビルダーを使用して生成されたペイロードで暗号化されたファイルは、既存の復号化ツールでは復号化できないことが確認されています。
リークされたLockBitビルダーを使用した攻撃は、ロシア、イタリア、ギニアビサウ、チリなど、世界中で発生しています。これらの攻撃は独立したアクターによって実施されており、LockBitランサムウェアの競合他社がこのビルダーを使用してCIS(独立国家共同体)の企業を標的にしている事例も報告されています。
ランサムウェア攻撃に対する予防策としては、強力なアンチマルウェアソリューションの使用、管理型検出および対応(MDR)の導入、未使用のサービスとポートの無効化、システムとソフトウェアの定期的な更新、定期的なサイバーセキュリティトレーニングの実施、バックアップの頻繁な作成とテストが推奨されます。これらの対策は、攻撃者が高権限のクレデンシャルを取得し、ネットワークに深刻な影響を与えるリスクを軽減するのに役立ちます。
この事例は、攻撃者がどのようにしてカスタマイズされたランサムウェアを生成し、ターゲットのネットワークに影響を与えることができるのか、そしてそのような攻撃に対してどのように予防策を講じるべきかについての重要な洞察を提供します。企業や組織は、このような脅威に対して適切なセキュリティ対策を講じ、従業員にサイバーセキュリティ意識を高めることが重要です。
from Using the LockBit builder to generate targeted ransomware.
