数か月にわたる復活の噂の後、LockBitランサムウェアグループは2025年夏の終わり以降、新たな被害者が現れたことで、実質的に復活したようです。
サイバーセキュリティ企業Check Pointの研究部門は、2025年9月にLockBitブランドのランサムウェア攻撃を受けた少なくとも12の組織を特定しました。
10月23日に公開されたレポートによると、観測された被害者の半数は新しいLockBit 5.0バリアントに感染しており、残りはLockBit Blackとも呼ばれる3.0バージョンで標的にされていました。LockBit 3.0のビルダーツールは2022年に流出しており、LockBitと関係のないサイバー犯罪者にも利用可能となっています。
この復活は、LockBitランサムウェアグループがオペレーションクロノスによって妨害されてから1年以上経過してからのことです。オペレーションクロノスは、2024年初頭にグループのインフラの一部を壊滅させた世界的な法執行機関による取り組みです。
Check Pointの研究者が観測した攻撃は、西ヨーロッパ、アメリカ大陸、アジアに及びます。
また、これらの攻撃はWindowsとLinuxの両方のシステムに影響を及ぼしており、Check Pointは「LockBitのインフラとアフィリエイトネットワークが再び活動している明確な兆候だ」と述べています。
LockBit 5.0、アップグレードされたランサムウェアビルド
9月初旬、LockBitはアンダーグラウンドフォーラムで正式に復活を発表し、グループの6周年を記念してLockBit 5.0を公開、新たなアフィリエイトの参加も呼びかけました。
この最新バージョンは内部コード名「ChuongDong」と呼ばれ、グループの暗号化ファミリーの大きな進化を示していると、Check Pointは以前のレポートで述べています。
LockBit 5.0は、効率性・セキュリティ・ステルス性を高めるための複数のアップデートを導入しています。
- Windows、Linux、ESXiシステム向けの新しいビルドなどマルチプラットフォーム対応
- フォレンジック調査を妨害する高度なアンチ解析機構
- 防御側の対応時間を短縮する最適化されたルーチン
- 検知を回避するためのランダムな16文字のファイル拡張子
また、脅威グループはアフィリエイトパネルも刷新し、個別の認証情報を備えた管理インターフェースを提供するようになったと報じられています。
「アフィリエイトとして参加するには、コントロールパネルと暗号化ツールへのアクセスのために約500ドル相当のビットコインを預託する必要があり、このモデルは排他性を保ち、参加者を審査することを目的としています。更新された身代金メモはLockBit 5.0を名乗り、被害者に対して盗まれたデータが公開されるまでの30日間の交渉リンクを個別に付与しています」とCheck Pointの研究者は指摘しています。
翻訳元: https://www.infosecurity-magazine.com/news/new-lockbit-ransomware-victims/
