一連の不名誉な挫折とデータ流出を受け、多くが早々に忘却の彼方へ追いやったと見なしていたLockBit集団が、予想外の復活を遂げた。2025年秋、同グループはLockBit 5.0とともに再登場した。これは同社のランサムウェアを洗練させた反復版であり、運用思想の大きな転換を示すと同時に、技術的高度化を進めつつ、アフィリエイトの参入障壁を引き下げている。
LockBitの年代記は2019年に始まる。Mazeカルテルの解体後、同グループは一時的にABCDとして活動し、その後LockBitの呼称を採用した。2020年までに彼らは「二重恐喝」というパラダイムを先駆けて打ち立て、専用のリークポータルを設置した。その後数年にわたり、ランサムウェアは2.0、3.0、4.0といった複数の大きな進化サイクルを経る一方で、macOS互換性を試し、流出したContiのソースコード由来の成果物も取り込んだ。
LockBit 4.0の展開後、同グループの勢いは失速したように見えた。2025年5月以降、リークサイトは停滞し、インフラも放置されたかのようだった。しかし、2025年9月にLockBit 5.0が登場し、状況は一変した。Operation CRONOS後に影響力を取り戻すための戦略的な一手として、同グループはアフィリエイトの参入費をわずか500ドルへと大幅に引き下げ、悪意あるツールへのアクセスを大きく民主化した。2025年末までに復活は疑いようがなく、新たなダークウェブ・ドメインの稼働や、RAMPやXSSといった地下フォーラムでの活動再活性化によって、その勢いが示された。
技術面では、LockBit 5.0は前身からの大きな逸脱を示している。アーキテクチャは高度なローダーと主要モジュールの二層に分割されている。ローダーは防御境界の回避と、システムの揮発性メモリ内で直接ペイロードを復号する役割を担い、高度なアンチデバッグおよびアンチ解析の戦術を用いる。データ暗号化を担当する主要モジュールは、より柔軟な暗号化アプローチを導入しており、アルゴリズムはファイルサイズに応じて適応し、鍵保護にはChaCha20とCurve25519の堅牢な組み合わせを利用する。
ファイルにはランダムな16文字の拡張子が付与されるようになり、マルウェアは暗号化の有効性を最大化するため、ファイルを開いたまま保持しているプロセスを事前に終了させる。LockBit 5.0はまた、ディスクをジャンクデータで埋め尽くして意図的にシステムを破壊するよう設計された、致命的なワイパー機能を導入している。さらに、ボリュームシャドウコピーの削除やイベントログの消去に関するロジックが洗練され、フォレンジックによる復旧やインシデント後の分析を著しく困難にしている。
専門家は、5.0によってLockBitが監視・解析に対して明らかに強靭になり、企業環境における威力も増したと指摘する。この復活は、厳しい現実を突きつける。すなわち、ランサムウェアのインフラに対する大規模な妨害であっても完全な根絶を保証するものではなく、むしろ彼らに適応・進化・捕食的戦術の洗練を促すに過ぎないということだ。
翻訳元: https://meterpreter.org/the-resurrection-lockbit-5-0-emerges-with-500-entry-fee-and-lethal-new-code/
