LockBit3.0ランサムウェアがMacデバイスを標的とする暗号化ツールを作成していることが報じられています。まだ開発途上のようですが、Macユーザーを新たな標的に定めているのでしょうか? 昨年から活動が目立っているLockBitランサムウェアとはどのようなランサムウェアなのでしょうか?
半田病院も被害を受けたもっとも活発なランサムウェア
Lockbit3.0は2021年6月にLockbit2.0として最初に観測されたビジネス化されたRaaSで、2022年6月に3.0にバージョンアップした経緯があります。前身は2019年9月に観測されたABCDランサムウェアだということです。2021年6月に観測された時からアングラ掲示板でアフィリエイトを募集し二重恐喝を行うRaaSとして登場したということですからランサムウェアビジネスにたけた犯罪グループが運営していることは明らかです。2021年第3四半期頃から非常に活発化し、徳島県つるぎ町の町立半田病院も被害を受けました。
ロシア語を使用するシステムやキリル文字を使う東欧系言語システムへの攻撃を回避する設計となっており、ロシアや東欧に拠点を置くグループによって運営されているとみられます。医療機関、福祉施設、教育機関、慈善団体などは攻撃しないと公言しているようですが、実際に攻撃を行っているのはアフィリエイターであり、半田病院のケースで明らかなように医療機関や福祉施設、教育機関等を攻撃しないランサムウェアとは言えません。2021年に非常に活発だったContiランサムウェアグループが2022年2月のロシアによるウクライナ侵攻を契機に内部暴露等により停止に追い込まれる中、LockBitは引き続き活発に攻撃を展開しています。
Lockbit2.0攻撃者は、「LockBit2.0は世界でもっとも高速な暗号化ソフトウェア」だと主張していました。三井物産セキュアディレクション(MBSD)でLockBit2.0のファイルの暗号化に関する処理について調べたところ、LockBit2.0にはI/O完了ポートの採用や「AES-NI」を活用した暗号化処理などファイルの暗号化処理を高速化するための複数のテクニックが実際に実装されていたということです。また、カスペルスキーによると、自動化システムが埋め込まれており、指示がなくても組織内で自律的に拡散するということです。
MalwareHunterTeamが発見した新たな暗号化ツール
しかし、2022年3月にLockbit2.0には暗号化処理を元に戻せるバグがあることが判明、新たなバージョンであるLockBit3.0へと移行しました。その際、バグ報奨金制度を導入することを発表してメディアの関心を集めるなど話題性に事欠かないランサムウェアでもあるようです。バグ報奨金制度は、バグの発見者に報奨金を支払うもので民間企業等で行われている制度ですが、それを犯罪ビジネスに導入したのがLockBitでした。LockBitはメディアの取材に対してRaaSにかかわっている開発者やアフィリエイトは100人以上いるなどと回答しています。
今回、新たに明らかになったのはMacデバイスを標的とするLockBit3.0の暗号化ツールで、サイバーセキュリティ研究者のMalwareHunterTeamがVirusTotalのZIPアーカイブから見つけたということです。LockBit3.0は、windows、Linux、VMwareESXiサーバーを暗号化するように設計されていますが、発見されたツールではmacOSなどこれまでに実装されていなかった暗号化ツールが含まれていたということです。
ただし、サイバーセキュリティの専門家が詳しく分析したところMacデバイスを暗号化する機能は十分に備わっておらず、テスト用に作成されたもので実用ではないとの結論に至ったということです。そこでBleepingComputerがLockBitに直接質問したところ、LockBitSuppとてして知られているLockBitの担当者から「積極的に開発している」との回答があったということです。
■出典・参考
https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit
https://twitter.com/malwrhunterteam/status/1647384505550876675
https://unit42.paloaltonetworks.jp/lockbit-2-ransomware/
https://www.kaspersky.co.jp/resource-center/threats/lockbit-ransomware