- LockBit 5.0は高度な難読化と解析回避技術でWindows、Linux、ESXiを標的に
- LockBit 4.0を基に、DLLリフレクションや動的API解決などのステルス機能を追加
- 実際に野生で活動が確認されているが、被害者や攻撃成功の詳細は未公表
悪名高いLockBitマルウェアが再び登場し、これまで以上に危険になっていると専門家が警告しています。
トレンドマイクロのセキュリティ研究者は最近、LockBitランサムウェアファミリーの最新バージョンについて詳細な技術分析を公開しました。このバージョンは2025年9月に発見され、LockBitが6周年を迎えるにあたり新たな暗号化ツールをリリースしたものです。
LockBit 5.0と呼ばれるこの新しい亜種は、複数のプラットフォームに対応し、全体的に技術的な改良が施されているほか、強力な難読化技術を備えており、「従来のバージョンよりもはるかに危険」とされています。
SEOポイズニングとマルバタイジング
研究者によると、LockBit 5.0は前バージョンの4.0を基にしており、ゼロから作り直されたものではありません。しかし、Windows、Linux、VMware ESXiシステムを標的にできるようになるなど、大幅な改良が加えられています。また、DLLリフレクションによるペイロードのロードや、EtwEventWrite APIのパッチ適用によるWindowsイベントトレースの無効化など、強力な難読化および解析回避技術も用いられています。
さらに、Windows API呼び出しを実行時に動的に解決することで静的解析を困難にし、ハードコードされたリストに対してハッシュ比較を用いてセキュリティサービスを終了させます。また、従来バージョンとは異なり、レジストリベースの感染マーカーを残しません。ランサムウェアは暗号化したファイルにランダムな16文字の拡張子を付与し、元のファイルサイズを暗号化フッターに埋め込むなどの特徴もあります。従来通り、ロシア語環境のシステムは暗号化の対象外となっています。
この暗号化ツールは実際に野生で発見されており、LockBitが積極的に攻撃に使用していることが示唆されます。ただし、被害者やその身元、キャンペーンの成功については言及されていません。
2024年初頭、法執行機関は「オペレーションクロノス」を開始し、当時最も破壊的なRansomware-as-a-Service(RaaS)脅威の一つであったLockBitの撲滅を目指しました。
この作戦は概ね成功したものの、逮捕者は出ず、グループはすぐに失われた基盤の再構築に着手しました。
出典:The Register
翻訳元: https://www.techradar.com/pro/security/lockbit-malware-is-back-and-nastier-than-ever-experts-claim
