Windows、Linux、ESXi システムをターゲットにするようになった LockBit ランサムウェアの最新バージョン(バージョン 5.0)。
このマルチプラットフォーム対応により、このマルウェアがもたらす脅威が大幅に増幅され、特に多様な IT インフラストラクチャに依存する業界におけるビジネスの深刻なリスクとなります。
LockBit 5.0 ランサムウェアは、検出を回避し、ターゲットの暗号化に成功させるための洗練された多層的なアプローチを採用しています。
Windows システムでは、ランサムウェアはパッキング、プロセスホローイング、DLL アンフッキング、Windows イベント トレーシング(ETW)関数のパッチを含む複数の防御回避技術を活用しています。
さらに、システムログをクリアし、セキュリティ ソフトウェアの検出努力をさらに妨害します。
Linux および ESXi バリアントは機能的には非常に似ていますが、パッキングを使用しないため、検出が容易です。ただし、これらのバージョンでは文字列を大量に暗号化して分析を妨害しています。
両方のバージョンにも、仮想化環境向けにカスタマイズされた固有の機能があり、仮想マシン内で実行されるシステムをターゲットにすることへの LockBit の関心の高まりを反映しています。
これには、VMware バージョンの確認や仮想マシンの終了など、ファイル暗号化を妨げないための仮想マシン環境向けの特殊なロジックが含まれます。
LockBit 5.0 はコマンドライン引数を使用して実行され、環境に応じて高度なカスタマイズが可能です。システムに侵入すると、XChaCha20(対称)と Curve25519(非対称)を組み合わせたハイブリッド暗号化スキームを使用してファイルを暗号化します。
暗号化プロセスは非常に高速で、システムの CPU コアを活用してパフォーマンスを最大化します。各ファイルが暗号化されると、ランサムウェアはランダムな拡張子を追加し、復旧の努力をさらに複雑にします。
Windows では、LockBit はシステム言語と地理的位置情報を含むシステム構成を確認し、ロシアのシステムへの感染を回避します。その後、ランサムウェアは暗号化ルーチンを開始し、復号化の支払いを要求する身代金メモを残します。
Linux および ESXi バージョンは、コマンドライン引数で若干異なり、仮想化システムと相互作用するための特定の機能が含まれています。
ESXi の場合、LockBit は /vmfs/ ディレクトリ内の仮想マシン ファイルを検索し、暗号化中に仮想マシンを停止できます。
この機能は、ランサムウェアがエンタープライズ IT セットアップでますます人気が高まっている仮想化環境の重要なインフラストラクチャをターゲットにする能力を強調しています。
LockBit 5.0 は、米国のビジネス部門に特に重点を置いて、幅広い業界をターゲットにしています。その犠牲者には、民間企業、政府機関、教育機関、医療機関が含まれます。
LockBit データ漏洩サイトによると、分析時点で既に 60 以上の犠牲者がリストされており、2025 年後半に多数の攻撃が発生しています。
法執行機関による継続的な混乱の努力にもかかわらず、LockBit グループは SmokeLoader などの他のマルウェア ファミリーの過去のインフラストラクチャを活用して、引き続き繁栄しています。
LockBit 5.0 の広範な影響と洗練性を考えると、組織は Windows、Linux、または ESXi を実行しているかどうかに関わらず、すべてのシステムをこの進化し続けるランサムウェアの脅威から保護するための堅牢なサイバーセキュリティ対策を実装する必要があります。
ビジネスは警戒を続け、このような洗練されたランサムウェア攻撃から防御するために、システムが最新のセキュリティ パッチで更新されていることを確認することが強く求められています。
翻訳元: https://cyberpress.org/lockbit-5-0-targets-windows-linux/