徳島県つるぎ町の町立半田病院を攻撃したランサムウェアLockBit2.0。今年3月にバグが見つかり、その後、LockBit3.0にバージョンアップされたということです。LockBit3.0とはどのようなランサムウェアなのでしょうか?
DarkSideやBlackMatterとも関連?!
サイバーセキュリティ企業のセンチネルワンによると、LockBit3.0ランサムウェアはBlackMatterとその関連するエンティティにまで遡るルーツをもつ犯罪ビジネス化されたLockBit Ransomware ―as ―a―service(RaaS)ファミリーの進化形だということです。米サイバーセキュリティ機関のCISAによると、 BlackMatterは2020年9月から2021年5月までアクティブだったRaaSのDarkSideがブランド変更したRaaSの可能性があるということです。DarkSideは2021年5月にアメリカのコロニアル・パイプラインを攻撃した後、活動停止を宣言し、その後、BlackMatterが登場しました。
一方、LockBit2.0は2021年6月に初めて観測されたRaaSで、2019年9月に観測されたABCDランサムウェアがその前身になるということです。サイバーセキュリティ企業、パロアルトネットワークスのインシデントチーム、Unit42によれば、LockBit2.0は出現当初からアングラ掲示板で攻撃の担い手であるアフィリエイトを募集するキャンペーンを展開し、2021年第3四半期には特に活動が活発化し、2022年になってからも第1四半期にUnit42が観測した全ランサムウェアおいてもっとも影響力があり広く展開されたランサムウェアだったということです。
重大なバグが見つかる
しかし、センチネルワンなどによると今年3月に重大なバグが見つかったことから、LockBit2.0の作成者が暗号化ルーチンの更新といくつかの新しい機能を追加する取り組みを開始しLookBit3.0へのバージョンアップが行われました。また、先月にはLockBitによる「バグ報奨金制度」(バグバウンティ)が発表されたということです。バグ報奨金制度は、バグを発見し告知すると報奨金の支払いがされる制度で企業などが自社製品やサービスを対象に広くバグの情報を求める手法として行っているようですが、犯罪グループが犯罪システムにかかるバグに関する情報を広く求めて報奨金の支払いをするというケースはこれまで聞いたことがありません。LookBitのランサムウェアがいかにビジネス化されているか、ということの一端を示しているように思います。
バージョンアップしたLockBit3.0ランサムウェアは以前の2.0と何が違うのでしょうか? サイバーセキュリティやサイバー犯罪などに関する記事を発信しているイタリアのレッドホットサイバーというサイトに最近、LockBitへのインタビュー記事が掲載されました。その記事の中でLockBitは「インフラストラクチャが拡張され、帯域幅が増加したため無制限のパートナーと連携できるようになった。Windows、DarkSide/BlackMatterのキットソースコードが導入され大幅な改善がなされ、多くのバグが修正された」などと答えています。また、LockBitのRaaSにかかわっている開発者やアフィリエイトなどの人数について100人以上、さらに身代金を支払う企業の割合は10~50%、などと回答しています。
機能更新で攻撃さらに拍車も
LockBit3.0はその他、リークサイトに新しい検索機能が加えられ、身代金の支払いにMonero、Bitcoinに加えてZcashが追加されるなど従来の2.0の機能を継続しつつさまざまな機能の更新が行われたようです。センチネルワンはLockBitの開発者が問題に迅速に対応していることに加え、「バグ報奨金」を取り入れることを表明するなどメディア対応にもたけていることなどを踏まえて、「法執行機関による介入がない限り、今後、LookBitのRaaSによる成功的なランサムウェア攻撃は繰り返し行われるだろう」との見通しを示しており、包括的なランサムウェア保護策を確実に実施することを推奨しています。
■出典
https://www.cisa.gov/uscert/ncas/alerts/aa21-291a
https://www.redhotcyber.com/post/red-hot-cyber-intervista-lockbit-3-0/