法執行機関は、LockBitランサムウェアグループが市場に新しいバリアントを投入する前にその活動を妨害した。Trend Microの報告によると、この新バリアントはLockBit 3.0の後継として設計されており、.NETをコード言語として、CoreRTをコンパイラとして選択していた。この選択により、単一のプログラムで複数のプラットフォームをターゲットにできるとされる。また、静的ファイル検出を回避するためにMPRESSを使用していた可能性がある。
LockBitは以前、C/C++で書かれた複数のバリアントを持っており、LinuxやVMware ESXiシステム向けの特定のものがあったが、.NETへの切り替えは運用を合理化するためのものだったと考えられる。2022年9月には、グループ内の開発者によると思われるリークにより、そのビルダーが流出し、LockBitのコードを手に入れたコピーキャットギャングが攻撃を開始した。
開発中のバリアントは、リークや盗難の場合の有効性を制限するために、新しい有効期限を導入しようとしていた。各バージョンにはプログラムが機能するハードコードされた日付範囲が含まれていた。このバリアントは「LockBit-NG-Dev」として追跡され、完全に書き直されたコードベースを特徴とし、防御者がその活動を検出するための新しいパターンを開発する必要があった。
LockBit-NG-Devは、以前のバリアントのいくつかの機能、例えば自己拡散メカニズムや被害者のプリンターからランサムノートを印刷する能力は欠けていたが、実行されるルーチンを決定する組み込みの設定や、ペイロードの実行やファイルの暗号化を妨げる可能性のあるプロセスやサービスの終了機能など、前バージョンから多くの機能を保持していた。
LockBit-NG-Devは、その前任者と同様に、複数の暗号化モードをサポートしていた。ほとんどのアフィリエイトは「fast」モードを選択し、ファイルの最初の0x1000バイトのみを暗号化するが、「intermittent」モードは2021年のLockBit 2.0で導入され、検出を回避する方法として提案された。
LockBit-NG-Devはまだ完成品ではなく、当局はLockBitを徹底的に解体したが、そのリーダーは活動を続ける可能性が高い。今週は3人の主要な逮捕があり、進展を示しているが、LockBitが持っていた約200のアフィリエイトリストには大きな影響を与えていない。主要なリーダーを逮捕しない限り、彼らは新しいブランド名の下で戻ってくる可能性がある。
【ニュース解説】
法執行機関がLockBitランサムウェアグループの活動を妨害し、市場に新しいバリアントが投入される前にその開発を中断させたことが明らかになりました。この新バリアントは、.NET言語とCoreRTコンパイラを使用して開発されており、これにより開発者は単一のプログラムで複数のプラットフォームをターゲットにすることが可能になるとされています。また、静的ファイル検出を回避するためにMPRESSという技術が使用されていた可能性があります。
LockBitはこれまで、C/C++で書かれた複数のバリアントを持っており、LinuxやVMware ESXiシステム向けの特定のバリアントもありました。しかし、.NETへの切り替えは、運用をより効率的にするための戦略的な選択であったと考えられます。2022年9月には、グループ内の開発者によるリークが原因でビルダーが流出し、LockBitのコードを手に入れた他の攻撃者がLockBitを装って攻撃を開始する事態が発生しました。
開発中のバリアントでは、リークや盗難された場合の有効性を制限するために、新しい有効期限が導入されていました。これは、プログラムが機能する特定の日付範囲をハードコードすることで実現されていました。このバリアントは「LockBit-NG-Dev」として追跡され、完全に書き直されたコードベースを持ち、防御者がその活動を検出するために新しいパターンを開発する必要があるとされています。
LockBit-NG-Devは、以前のバリアントに見られたいくつかの機能、例えば自己拡散メカニズムや被害者のプリンターからランサムノートを印刷する能力は欠けていましたが、それでも強力なランサムウェアプログラムとして機能していました。また、複数の暗号化モードをサポートしており、攻撃者はファイルの一部または全部を暗号化することができました。
この事件は、ランサムウェアグループがどのようにして進化し、新しい技術を取り入れて攻撃の手法を変化させているかを示しています。また、法執行機関がランサムウェアグループに対してどのように対抗しているか、そしてその効果についても示しています。しかし、主要なリーダーが逮捕されない限り、これらのグループが新しい名前で再び現れる可能性があることも指摘されています。このような状況は、ランサムウェア対策における継続的な挑戦を示しており、今後もセキュリティ対策の強化が求められています。
from Authorities dismantled LockBit before it could unleash revamped variant.
“警察がLockBitランサムウェアの新バリアント開発を阻止、進化するサイバー脅威に挑む” への1件のコメント
LockBitランサムウェアグループの最新バリアントの開発が法執行機関によって中断されたというニュースは、セキュリティ業界における一時的な勝利を象徴しています。しかし、このグループが.NET言語とCoreRTコンパイラを使用して新たな攻撃手法を開発していたことは、ランサムウェアが技術的にどれほど進化し続けているかを物語っています。この技術的な転換は、攻撃者がさまざまなプラットフォームを標的にしやすくするだけでなく、静的ファイル検出の回避も可能にするため、セキュリティ対策の複雑化を意味します。
私たちITエンジニアとしては、このような進化する脅威に対抗するために、常に最新のセキュリティ技術を学び、適用する必要があります。特に.NET言語を使った開発に携わる者としては、その使用がどのように悪用され得るかを理解し、アプリケーションのセキュリティを強化するための対策を講じることが重要です。
また、LockBitが新しい有効期限を導入しようとしたことは、ランサムウェアの対策としての技術的な工夫が進んでいることを示しています。これは、セキュリティ研究者がランサムウェアの動作を分析し、防御策を開発する上