研究者らは、以前のバージョンからの進化であり飛躍的な進歩ではないとしつつも、CSOに対してESXiホストのセキュリティ強化を推奨しています。
LockBitグループは、ESXiドライブの暗号化速度を向上させた新バージョンのランサムウェアをリリースしました。しかし、過去にグループの幹部と話したことのあるセキュリティ研究者によれば、LockBit 5.0は「基本的な機能の微調整と多くのプロパガンダ」であり、能力面での大きな飛躍ではないとのことです。
2023年、米国Analyst1のチーフセキュリティストラテジストであるJon DiMaggio氏は、数か月かけて複数のオンライン人格を作り、グループの運営にアクセスし、リーダーたちから運営の詳細を聞き出した経緯を一連のレポートで明らかにしました。また、2024年2月のOperation CronosによるITインフラの摘発は、ランサムウェア・アズ・ア・サービスの運営を終わらせることはできなかったものの、犯罪者間でのグループの信頼性を大きく損なったと、インタビューで述べています。
そのため、新バージョンのリリースやアフィリエイトとの利益分配の拡大は、失った評判を取り戻すための手段となっています。
LockBit 5.0は「大規模な取り組みではない」と彼は言います。「暗号化はより高速になり、攻撃が少しスムーズになるだろう」とサブスクライバーの犯罪者にとっての利点を指摘。「検知回避能力も向上しているが、それはどの新しいランサムウェアにも言えることだ」とも付け加えました。「しかし、LockBitが常に得意としてきたのはセルフブランディングであり、それがこの新バージョンに関する話題の理由だ」と述べています。
DiMaggio氏は、今週発表されたトレンドマイクロのLockBit 5.0に関するレポートについてコメントしました。このバージョンにはWindows、Linux、Vmware ESXiの各バリアントがあります。
LockBit 5.0の新機能
トレンドマイクロの分析によると、以下の点が明らかになりました:
- Windowsバイナリは高度な難読化とパッキングを使用しており、DLLリフレクションを通じてペイロードをロードし、Event Tracing for Windows(ETW)のパッチ適用やセキュリティサービスの終了などの解析回避技術を実装しています。
- Linuxバリアントは、特定のディレクトリやファイルタイプをターゲットにするコマンドラインオプションを備え、同様の機能を維持しています。
- ESXiバリアントは特にVMware仮想化環境を標的としており、単一の攻撃で仮想マシンインフラ全体を暗号化するよう設計されています。
ESXiドライブへの被害は、組織にとって重大なものとなり得ます。トレンドマイクロは、単一のESXiホストが数十の重要なサーバーを稼働させていることが多いと指摘しています。ハイパーバイザー層で暗号化されると、多くの業務サービスが一度に停止する可能性があります。
これらの新しいLockBitバージョンは、16文字のランダムなファイル拡張子、ジオロケーションチェックによるロシア語システムの回避、暗号化後のイベントログ消去など、主要な挙動を共有しています。また、5.0バージョンはLockBit 4.0と同じハッシュアルゴリズムやAPI解決方法などのコード的特徴も共有しており、これはオリジナルコードベースの進化であり模倣ではないことを示しています。
「ランサムウェアの攻撃者やそのアフィリエイトは、現在、防御や法執行機関よりも先を行くためにTTP(戦術・技術・手順)を定期的に変えています」と、トレンドマイクロの脅威インテリジェンス担当副社長Jon Clay氏は述べています。「組織は、従来の検知・対応型のリアクティブな方法ではなく、攻撃に先んじるプロアクティブなアプローチを実装するなど、より新しいサイバーセキュリティモデルの採用を検討する必要があります。攻撃対象領域全体を発見し、それに関連するリスクを特定・優先順位付けし、リスクを最小化するための緩和策を有効にするリスクベースのアプローチを実装することで、セキュリティ体制の大幅な向上が期待できます。」
2024年2月のLockBitインフラ摘発後、管理者とされるロシア国籍の人物が米国で起訴されましたが、いまだ逃亡中です。
その5日後、グループは新たなサーバーを立ち上げ、サブスクライバー向けの管理パネルも復旧させました。「しかし、裏側では全員が離れていった。トップアフィリエイトは彼らを信用せず、協力しなくなった。LockBitで働くのは非常に困難になり、リーダーはアクセス権をばらまくほどだった」とDiMaggio氏は述べ、かつて1万ドルだったサブスクリプションが700ドルまで下落したと指摘。「彼は嘘をつき、ギャングのダークウェブサイトに偽の被害者を掲載して、勢力が衰えていないように見せかけていた」とも語っています。
さらに、今年初めには、LockBitのアフィリエイトパネルのデータベースからファイルが流出し、4,400件以上の被害者との交渉メッセージなどの詳細が明らかになりました。
現在LockBitの被害に遭う数少ない被害者でさえ、以前のような高額な支払いをしていません。DiMaggio氏は、今年発生した被害者がわずか800ドルでアクセスを取り戻したケースを挙げています。
「もはや通常営業とは言えない」とDiMaggio氏は述べています。「1億ドル規模の時代は終わった。しかし彼は再建を試みている。今回の取り組みもその一環だ。信頼を回復し、人々を呼び戻して働かせるため、アフィリエイトとの利益分配を改善し、マルウェアの動作を少し速くしようとしている。」
CSOは今何をすべきか?
ランサムウェア対策でCSOが犯しているミスについて尋ねられると、DiMaggio氏は多くの人が依然として攻撃はフィッシングやソーシャルエンジニアリングから始まると考えていると指摘。しかし、現在ギャングは、パッチが不十分な公開サーバーやアプリケーションを通じてITインフラを侵害したり、ブルートフォースや盗まれた認証情報を使ってアプリケーションに侵入したりすることに重点を置いていると述べています。
トレンドマイクロは、ESXiドライブをより安全に保護するため、CSOは仮想化を重要インフラとして扱い、以下のガイドラインを守るべきだとしています:
- ESXiホストをインターネットから直接アクセスできないようにする。管理コンソールはVPNの背後に置き、強力なロールベースアクセス制御で保護する。
- ESXiを常に最新のパッチ状態に保ち、サポートされているバージョンのみを使用する。
- vCenter管理コンソールにアクセスする全員に多要素認証でのログインを義務付ける。
- SSHなど未使用のサービスを無効化し、vSphereセキュリティ構成ガイドやVMwareのランサムウェア防御ガイダンスに従う。
- 異常な管理者ログイン、大量のプロセス終了、スナップショット操作など、ハイパーバイザーや横展開攻撃の兆候をチームで監視する。
