全3228文字
PR

 ランサムウエア攻撃者グループである「LockBit2.0」の勢いが収まる気配を見せない。ここ数カ月、主要なセキュリティーベンダーが相次ぎLockBit2.0の活動に対して警告を出している。日本でも複数の被害が確認されている。

 そこで今回は、筆者の分析結果を基にLockBit2.0を解説する。

ダークウェブで実行部隊を募集

 LockBit2.0は、2019年9月に「LockBit」という名前で出現した後、2021年6月に活動を再開したグループだ。再開直後は目立った活動を見せなかったが、同年6月末にダークウェブ上のWebサイト(リークサイト)で「アフィリエイト」と呼ぶ攻撃の実行部隊の募集を始めた。同年7月中旬からは多数の被害組織への攻撃声明を掲載するようになり、それまで最も多くの攻撃声明を掲載していたランサムウエア攻撃者グループ「Conti」の件数を数日間で超えてしまった。

 アフィリエイトの募集が効果的だったのかは定かではないが、他グループで活動していた実行部隊が流れてきた可能性は高い。LockBit2.0の募集ページには、他のランサムウエアに対する優位点をうたう文言が並ぶ(図1)。暗号化の速度を計測した比較結果などを表示するとともに、他のランサムウエアも配布して「実際に動かして確かめれば分かる」とアピールする。

図1●LockBit2.0はダークウェブで優位性をアピール
図1●LockBit2.0はダークウェブで優位性をアピール
LockBit2.0攻撃者グループがダークウェブ上に公開しているWebサイト。提供するランサムウエア(LockBit2.0)の説明(a)だけでなく、被害組織のデータを公開するまでの残り時間を表示(b)。他のマルウエアよりもデータの暗号化速度が速い点もアピールしている(c)。
[画像のクリックで拡大表示]

 LockBit2.0のリークサイトでは、他の攻撃者グループと同じように被害組織の具体名が多く掲載されている。被害組織と交渉中(またはコンタクト待ち)の段階では組織名の公開までにとどめ、窃取データは公開しない。そして窃取データの公開までの残り時間をサイトに表示して身代金の支払いを促すわけだ。

 次に、このLockBit2.0が使用するランサムウエア(以下、LockBit2.0)の特徴的な挙動などを説明しよう。