LockBitは、世界で最も活発なランサムウェア・アズ・ア・サービス(RaaS)運用としての地位を確立しており、2021〜2022年期に30.25%という支配的な割合を示したのに続き、2023年には記録されたランサムウェア攻撃全体の約21%を占めました。
LockBit 5.0の登場は技術的洗練度の大幅なエスカレーションを意味し、強化された暗号化手法とアンチ解析メカニズムを導入することで、被害者の復旧およびフォレンジック解析を根本的に困難にしています。
2019年9月から活動するLockBitは、地域的な脅威から体系的な世界的リスクへと進化しており、ITインフラ、電子機器製造、法務サービス、宗教機関などの重要セクターにまたがる侵害が確認されています。
LockBit 5.0の展開は、この運用基盤を踏まえつつ、実行時に設定可能なパラメータを実装しています。また、設定パラメータが存在しない場合でもマルウェアが通常どおり動作するという機能的冗長性を維持しており、防御側の隔離手法に耐えるよう設計されたアーキテクチャ上のレジリエンスを示しています。
暗号技術の革新
LockBit 5.0は、対称ファイル暗号化にChaCha20-Poly1305を用い、非対称鍵交換にX25519楕円曲線暗号とBLAKE2bハッシュを組み合わせたハイブリッド暗号フレームワークを実装しています。
この二重アルゴリズムのアプローチにより、暗号化されたファイルはローカルシステム情報だけでは復元できず、従来のフォレンジック手法や総当たり手法によって攻撃者の鍵素材を回避することを効果的に防ぎます。
暗号化プロセスは、ファイルサイズの閾値に基づいて可変の性能最適化を示します。
0x5000000バイト(約83.9MB)を超えないファイルは、導出されたキーストリームを用いた直接的なChaCha20暗号化が行われる一方、より大きなファイルは0x800000バイト(8MB)のチャンクに分割され、各セグメントが独立して暗号化されるとともに、カスタムのハッシュベース整合性マーカーが各セグメントに付加されます。
この段階的アプローチは、暗号化速度とセキュリティ堅牢性のバランスを取り、暗号学的整合性を維持しつつ、侵害システム上での滞在時間(dwell time)を短縮します。
身代金要求メモでは、自己復旧の試行や第三者の復旧サービスへの依頼を行うと復号が恒久的に不可能になると明示的に警告しており、代替の復旧経路があるという認識を排除することで即時の身代金支払いを強要する行動上の脅しとなっています。
LockBit 5.0は、動的解析と静的解析の双方を標的とする攻撃的な防御措置を採用しています。
パッキングおよび難読化技術によりバイナリ構造が隠蔽され、リバースエンジニアリングの試みが困難になる一方、ハードコードされたサービス停止対象として、Veeam、Acronis、Microsoft Edge Update、Windows Search機能などを含む、バックアップ、仮想化、セキュリティ関連の16ソリューションが挙げられています。
このマルウェアは、Windowsシステムが自動復旧ポイントを維持するための重要な仕組みであるボリュームシャドウコピーサービス(VSS)コンポーネントを選択的に終了させ、被害者を復旧不能な暗号化状態へと追い込みます。
さらに、このマルウェアはハッシュベースの難読化によって特定された追加の31サービスを停止しており、公的な列挙データセットを超えて、標的とするセキュリティおよびバックアップ基盤が大幅に拡大していることを示しています。
暗号化前の運用手順
ファイル暗号化に先立ち、LockBit 5.0は、標準化されたWindowsのTempディレクトリから一時ファイルを体系的に削除し、不要なキャッシュデータを取り除くことで暗号化性能を加速させます。
同時に、このマルウェアは重要なWindowsシステムディレクトリおよび実行可能ファイル拡張子(exe、dll、sys、cpl)を暗号化対象から除外します。これは、システムの安定性と起動可能性を維持し、攻撃者が暗号化の展開中および展開後も侵害ホストに対する永続性と制御を維持できるようにする意図的な運用上の制約です。
LockBit 5.0は、カスタムハッシュ関数により、実行インスタンスごとに100個のユニークな8バイト拡張子を生成する動的なファイル拡張子ランダム化を実装しています。
この仕組みにより、静的な侵害指標(IoC)シグネチャを回避し、復旧サービスの展開を複雑化させます。フォレンジック復旧ツールは、攻撃時に使用された特定の拡張子セットを事前に把握していない限り、暗号化ファイルの命名規則を予測できないためです。
LockBit 5.0に組み込まれた技術的洗練は、運用セキュリティと被害者への強要メカニズムを優先する、成熟したRaaS運用を反映しています。
同グループがセクター横断で支配的地位を維持し続けていることに加え、暗号化技術が進化していることは、企業の脆弱性管理、アクセス制御、インシデント対応準備における脆弱性が持続していることを示しています。
組織は、バックアップ基盤のセグメンテーション、プロダクションネットワークから隔離されたイミュータブルバックアップの実装、そしてランサムウェア展開に先行するラテラルムーブメントおよびデータ持ち出しの特定に焦点を当てた積極的な脅威ハンティングを優先しなければなりません。
LockBit 5.0がもたらす持続的脅威は、エンドポイント検知・対応(EDR)、ネットワーク監視、インシデント対応能力にわたる包括的なセキュリティ態勢の見直しを必要とします。
翻訳元: https://gbhackers.com/lockbit-5-0-2/
