LockBit 3.0 ランサムウェアとは何ですか?それを防ぐにはどうすればいいでしょうか？

オンラインでは盗難、恐喝、なりすましが蔓延しており、毎月数千人がさまざまな詐欺や攻撃の被害に遭っています。そのような攻撃手法の 1 つは、LockBit 3.0 と呼ばれる一種のランサムウェアを使用します。では、このランサムウェアはどこから来て、どのように使用され、自分自身を守るために何ができるのでしょうか?

LockBit 3.0 はどこから来たのですか?

ロックビット 3.0

LockBit 3.0 (LockBit Black とも呼ばれる) は、LockBit ランサムウェア ファミリから生まれたランサムウェア ファミリです。これは、攻撃の第一波が発生した後の 2019 年 9 月に初めて発見されたランサムウェア プログラムのグループです。当初、LockBit は「.abcd ウイルス」と呼ばれていましたが、当時は、LockBit の作成者とユーザーが元のランサムウェア プログラムの新しいバージョンを作成し続けることは知られていませんでした。

LockBit のランサムウェア ファミリは自ら拡散しますが、ターゲットとなるのは特定の被害者、主に多額の身代金を支払う余裕のある被害者だけです。 LockBit ランサムウェアを使用する人々は、被害者のデバイスに遠隔地から簡単にアクセスできるように、ダークウェブ上でリモート デスクトップ プロトコル (RDP) アクセスを購入することがよくあります。

LockBit の運用者は、最初の使用以来、英国、米国、ウクライナ、フランスを含む世界中の複数の組織を標的にしてきました。この悪意のあるプログラムのファミリーは、Ransomware-as-a-Service (RaaS) モデルを使用しており、ユーザーは特定の種類のランサムウェアにアクセスするためにオペレーターに料金を支払うことができます。これには通常、何らかの形式の登録が必要です。場合によっては、ユーザーは統計をチェックして、LockBit ランサムウェアの使用が成功したかどうかを確認することもできます。

LockBit が、LockBit 2.0 (現在のランサムウェアの前身) を通じて人気のランサムウェアになったのは、2021 年のことです。この時点で、このランサムウェアを使用するギャングは二重恐喝モデルを採用することを決定しました。これには、暗号化と、被害者のファイルの別のデバイスへの抽出 (または転送) の両方が含まれます。この追加の攻撃方法により、標的となった個人や組織にとって状況全体がより恐ろしいものになります。

確認された最新のタイプの LockBit ランサムウェアは LockBit 3.0 です。では、LockBit 3.0 はどのように機能し、現在どのように使用されているのでしょうか?

ロックビット3.0とは何ですか?

LockBit 3.0 は、感染したデバイス上のすべてのファイルを暗号化して抽出できます

2022 年の晩春、LockBit ランサムウェア グループの新しいバージョンである LockBit 3.0 が発見されました。 LockBit 3.0 はランサムウェア プログラムとして、感染したデバイス上のすべてのファイルを暗号化して窃取することができ、要求された身代金が支払われるまで攻撃者が被害者のデータを人質にとることができます。このランサムウェアは現在蔓延しており、多くの懸念を引き起こしています。

典型的な LockBit 3.0 攻撃の流れは次のとおりです。

1. LockBit 3.0 は被害者のデバイスに感染し、ファイルを暗号化し、暗号化されたファイル拡張子「HLjkNskOq」を添付します。

2. 次に、暗号化を実行するには、 「-pass」というコマンド ライン引数キーが必要です。

3. LockBit 3.0 は、多数の異なるスレッドを作成して複数のタスクを同時に実行するため、データ暗号化をより短時間で完了できます。

4. LockBit 3.0 は、暗号化とフィルタリングのプロセスをより簡単にするために、特定のサービスまたは機能を削除します。

5. API は、サービス コントロール マネージャーのデータベース アクセスを含めるために使用されます。

6. 被害者のコンピュータの壁紙が変更されるため、攻撃を受けていることがわかります。

被害者が許可された期間内に身代金を支払わなかった場合、LockBit 3.0 攻撃者はダークウェブ上で盗んだデータを他のサイバー犯罪者に販売します。これは被害者と組織の両方にとって悲惨な結果となる可能性があります。

この記事の執筆時点では、LockBit 3.0 は Windows Defender を悪用してCobalt Strikeを展開することが最も顕著です。このソフトウェアは、複数のデバイス間でマルウェア感染の連鎖を引き起こす可能性もあります。

このプロセス中に、MpCmdRun.exe コマンド ライン ツールが悪用され、攻撃者が復号化して警告を発することができます。これは、システムをだまして悪意のある DLL (ダイナミック リンク ライブラリ) の優先順位を付けてロードすることで行われます。

MpCmdRun.exe 実行可能ファイルは、Windows Defenderによってマルウェアをスキャンするために使用され、有害なファイルやプログラムからデバイスを保護します。 Cobalt Strike は Windows Defender のセキュリティ対策をバイパスできるため、ランサムウェア攻撃者にとって非常に便利です。

この手法はサイドローディングとも呼ばれ、悪意のある者が感染したデバイスからデータを盗むことを可能にします。

LockBit 3.0 ランサムウェアを防ぐには?

LockBit 3.0 に対する懸念は、暗号化や漏洩の可能性のある大量のデータを抱える大規模組織の間で特に高まっています。この種の危険な攻撃を確実に回避することが重要です。

これを行うには、まずすべてのアカウントで非常に強力なパスワードと2 要素認証を使用していることを確認する必要があります。この追加のセキュリティ層により、サイバー犯罪者によるランサムウェア攻撃が困難になります。たとえば、リモート デスクトップ プロトコル ランサムウェア攻撃を考えてみましょう。このような場合、攻撃者はインターネットをスキャンして脆弱な RDP 接続を探します。したがって、接続がパスワードで保護されており、2FA を使用している場合は、ターゲットになる可能性は大幅に低くなります。

さらに、デバイス上のオペレーティング システムとウイルス対策プログラムを常に最新の状態に保つ必要があります。ソフトウェアのアップデートは時間がかかり、煩わしいものですが、それが存在するのには理由があります。このようなアップデートには、多くの場合、デバイスとデータを保護するためのバグ修正や追加のセキュリティ機能が含まれているため、デバイスをアップデートする機会をお見逃しなく。

ランサムウェア攻撃を回避するために講じるべきもう 1 つの重要な手段は、ファイルをバックアップすることです。ランサムウェア攻撃者はさまざまな理由で必要な重要な情報を差し控えることもあるため、バックアップを作成しておくことで被害をある程度軽減できます。 USB スティックに保存されているオフライン コピーは、データが盗まれたり、デバイスから削除されたりした場合に非常に貴重になる可能性があります。

ランサムウェア感染後の対策

上記の提案は LockBit ランサムウェアから保護できますが、感染する可能性は依然としてあります。したがって、コンピュータが LockBit 3.0 ウイルスに感染していることに気付いた場合は、性急に行動しないことが重要です。デバイスからランサムウェアを削除するにはいくつかの手順があり、慎重に従う必要があります。

ランサムウェア攻撃の被害者になった場合も、当局に通知する必要があります。これは、関係者が特定の種類のランサムウェアをよりよく理解し、対処するのに役立ちます。

LockBit 3.0 ランサムウェアが被害者を脅迫し、悪用するためにあと何回使用されるかは誰にもわかりません。このため、機密データを安全に保つために、可能な限りあらゆる方法でデバイスとアカウントを保護することが重要です。