トレンドマイクロは、従来のバージョンよりも「著しく危険性が高い」新しいLockBitランサムウェアの亜種を特定し、実際に野放しで使用されていることを確認しました。
悪名高いLockBitランサムウェア集団は、グループの6周年を記念して2025年9月に「LockBit 5.0」のリリースを発表したと報じられています。
その後、トレンドマイクロの研究者はWindowsバイナリを発見しました。サイバーセキュリティ企業はまた、2025年9月25日に公開したブログで、LockBit 5.0のLinuxおよびESXiの亜種の存在も確認しています。
「Windows、Linux、ESXiの亜種が存在することは、LockBitが引き続きクロスプラットフォーム戦略を継続していることを示しています。これにより、ワークステーションからデータベースや仮想化プラットフォームをホストする重要なサーバーまで、企業ネットワーク全体に同時攻撃を仕掛けることが可能になります」と研究者らは指摘しています。
これらの亜種は、アフィリエイト(協力者)向けにより詳細な展開オプションや設定を提供しています。
さらに、LockBit 5.0のバージョンには、感染マーカーの削除、より高速な暗号化、回避能力の強化など、重要な技術的改良が含まれています。
トレンドマイクロの研究者は、2024年初頭の法執行機関によるLockBitインフラの摘発にもかかわらず、グループは「積極的な進化」による戦術、技術、手順(TTPs)の進化を通じて、競合他社を凌駕し続ける回復力と能力を示していると警告しています。
LockBit 5.0の技術分析
LockBit 5.0のWindowsバージョンは、従来のバージョンと比べてアフィリエイト向けのユーザーインターフェースがより洗練され、整然としたフォーマットになっていることが判明しました。
ランサムウェアの実行に関するさまざまなオプションや設定が記載されており、暗号化または除外するディレクトリの指定といった基本的なオプションや、不可視モードや詳細モードなどの動作モード、ノート設定、暗号化設定、フィルタリングオプション、使用例などが含まれています。
「詳細なコマンドやパラメータは、攻撃者が利用できる柔軟性やカスタマイズ性を示しています」と研究者らはコメントしています。
実行されると、ランサムウェアは独自の身代金要求ノートを生成し、被害者を専用のリークサイトに誘導します。このインフラは、LockBitが確立した被害者とのやり取りモデルを維持しており、身代金交渉のための「サポートとチャット」セクションが簡素化されています。
特筆すべきは、この亜種が暗号化後のファイルにランダムな16文字の拡張子を付与し、復旧をさらに困難にしている点です。LockBit 5.0はまた、ファイル末尾の従来のマーカーを省略しており、解析をより困難にしています。
このマルウェアは他にもアンチフォレンジック技術を展開します。これには、EtwEventWrite APIを0xC3(リターン)命令で上書きしてパッチを当て、Windowsのイベントトレース機能を無効化することが含まれます。
従来のLockBitバージョンと同様に、新バージョンもジオロケーションチェックを使用し、ロシア語設定やロシアのジオロケーションを検出すると実行を停止します。
Windowsバージョンで観察された機能は、分析されたLinuxおよびESXiの亜種でも同様でした。
ESXiの亜種は特にVMware仮想化インフラを標的としており、研究者はこれがLockBitの能力における「重大なエスカレーション(拡大)」であると述べています。
これは、ESXiサーバーが通常複数の仮想マシンをホストしているため、攻撃者が単一のペイロード実行で仮想化環境全体を暗号化できるためです。
新バージョンは「進化的な開発」
このレポートでは、LockBit 4.0と5.0の間で大幅なコードの再利用が見られることも強調されており、新バージョンが完全な書き換えではなく「進化的な開発」であることを示しています。
その結果、5.0はLockBitランサムウェアファミリーの継続であり、他の脅威アクターによる模倣やリブランドではない可能性が高いといえます。
「両バージョンは、API解決やサービス識別の重要な要素である文字列操作用のハッシュアルゴリズムが同一です。動的API解決のコード構造もバージョン間で非常によく似ており、開発者が既存のLockBit 4.0コードベースを基に構築したことが示唆されます」と研究者らは指摘しています。
LockBitランサムウェアのバージョンのタイムライン
- LockBit 1.0は2020年1月に「ABCD」ランサムウェアとしてリリース
- LockBit 2.0(LockBit Red)は2021年6月にグループのデータ窃取ツールStealBitとともにリリース
- LockBit Linuxは2021年10月にリリースされ、LinuxおよびVMWare ESXiシステムを感染対象に
- LockBit 3.0(LockBit Black)は2022年3月にリリースされ、6か月後にグループの不満を持つ開発者によってリークされ、アフィリエイト構造に混乱をもたらす
- LockBit Greenは2023年1月にリリースされ、LockbitSuppによって主要な新バージョンとして宣伝されたが、多くのセキュリティ専門家がConti暗号化ツールのリブランド版であることを発見し、後に否定された
- LockBit 4.0は2024年後半に予告され、2025年2月に正式リリース。4.0はセキュリティ製品の回避に焦点を当てた新機能を導入したが、セキュリティ研究者は、より単純なパッカーへの切り替え、Microsoft Defenderの削除を行わない、暗号化速度の低下など、LockBit 3.0から後退した点も指摘している
翻訳元: https://www.infosecurity-magazine.com/news/lockbit-ransomware-most-dangerous/
