海外法人は要注意!LockBitランサムウェアがメキシコ法人を攻撃
脅威インテリジェンスプラットフォームCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本記事を紹介します。
Cognyte CTI Research Group@Cognyte | 2023年5月
2023年5月11日、LockBit3.0がダークウェブ上のリークサイトにおいて、日系製造メーカーのメキシコ法人に関する情報をアップロードしました。当該メーカーは自動車関連部品を中心に製造しています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
リークサイトに掲載された情報
LockBit3.0は、下図のとおり当該企業に関する情報と窃取データの一部を公開しました。
リークサイトに掲載された被害企業の情報 出典:Cognyte Luminar
全てのデータはまだ公開されていません。しかし、脅威アクターは身代金支払い期限を2023年6月10日に設定し、一部データのスクリーンショットを公開しています。
- パスポートのスキャン
- 秘密保持契約
LockBitが公開したスクリーンショットの例
LockBit3.0について
出現
LockBitランサムウェアは2019年に出現が確認されました。RaaS形態で運用されており、アフィリエイト(構成員)に対して、開発済みの攻撃ツールを提供します。
アフィリエイトは、回収した身代金をランサムウェア開発チーム側と分配します。
マシンがLobkBitに感染した場合、マルウェアサンプルが手動でデプロイされ、AESキーによるファイルの暗号化が行われます。その後攻撃者はバックアップを削除し、ランサムノート(脅迫文章)を感染マシンに配置します。
LockBit3.0とバグ・バウンティプログラム
2022年6月、2か月間のテスト期間を経て、LockBit運用者は「LockBit3.0(あるいはLockBit Black)」を導入しました。LockBit3.0はアンチ・アナリシス機能を搭載しており、実行にはパスワードが要求されます。
LockBit3.0の導入と並行して、グループはバグ・バウンティプログラムを開始しました。このような試みはランサムウェアグループでは初です。
調査によれば、LockBit3.0は新しい恐喝モデルを利用しており、他の脅威アクターに対して、Torrentやリークサイト経由での窃取データ販売・ダウンロードを提供しています。
2022年11月には、Amadey Botを通じたLockBit3.0の拡散が確認されました。Amadey Botは2018年から活動が観測されているマルウェアであり、ハッキング・フォーラムで販売されています。
TTPの一例
LockBitアフィリエイトは、Backstab等の正当なペンテストツールを悪用していることが報じられています。BackstabはSOCアナリストがモニタリングに用いるツールですが、このケースでは、Microsoft社のプロセス・エクスプローラを利用した保護プロセスの終了、EDR機能の無効化等に利用されます。
LockBitアフィリエイトは、他にも以下のツールを利用することが確認されています。
- GMER…無料ルートキット検知ツールのアンチ・フッキング機能を利用
- Netscan…標的ネットワークに対するプローブ
- Mimikatz…クレデンシャルダンピング
- Cobalt Strike…クレデンシャル・ダンピング
LockBit Green
2023年1月、新たな改良型であるLockBit Greenが公開されました。このランサムウェアはクラウドベースのサービスをターゲットに作成されており、ESXi対応型を改良したものだと推測されています。
また、LockBit GreenとContiランサムウェア(以前にソースコードが流出)との間に、著しい類似が指摘されています。
海外法人の対策が重要
LockBitを始めとするランサムウェアは国内外の企業・組織を攻撃しており、海外法人も頻繁に被害に遭っています。
特に海外法人のセキュリティは、サプライチェーンリスク管理にも通じるガバナンスの難しさがあり、多くの組織で課題となっています。
Cognyteでは、本記事の最後に示すIoCがセキュリティツールに組み込まれていることを確認するとともに、一般的なランサムウェア対策を講じることを推奨します。
SOMPO CYBER SECURITYでは、今回ご紹介したCognyteのような脅威アクターの活動を検知するサービスの他にも、インフォスティーラーやマルウェアの通信を直接傍受し、組織が持つホストの感染やクレデンシャル漏洩を検知するKryptosLogicサービスを提供しています。
ぜひ以下のホワイトペーパーをご覧ください。 ■攻撃者やマルウェアの通信を傍受する独自技術(Kryptos Logicホワイトペーパー)
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
IoC
| 型式 | 値 | 対象マルウェア・ツール |
| SHA-256 | cb049c6e59106bbdfd804a9d02bb31ea09a3918018cbb97fb12d2bcf9e475465 | Lockbit 3.0 |
| SHA-256 | 334148a7434f4fd27dcc6600edc2f29e4f11ada0be9f71f807cbd4154abd74be | Lockbit 3.0 |
| MD5 | d449eb8b31f0113189940b7ec86aa5c5 | Lockbit 3.0 |
| SHA-1 | bbba4f8b7c5d57739e72d250441ffff1769bc573 | Lockbit 3.0 |
| SHA-256 | fd3577ff36496320485ffa05681ffa516a56fc4818c3fc89774aa4bb20e2c17f | Lockbit 3.0 |
| SHA-256 | 8465c979990e75262d15e93453287d6107f008035d6d6a05bd3a92c2e3fe1d40 | Lockbit 3.0 |
| SHA-256 | 40828437094a02ab467a0c0343d08c110d3b0c2972b609bcdd355667614209f | Lockbit 3.0 |
| SHA-256 | 50f49ac742a127085e0a824bcae7e25326ea0ef0741f0abe34ce494f2c4ef4d2 | Lockbit 3.0 |
| MD5 | 4b122da82c589d68d15a98ba73997910 | Lockbit 3.0 |
| SHA-1 | 3e4e31479d739e49af21f381a2be11a4e93d2d22 | Lockbit 3.0 |
| SHA-256 | cc58dcd32a440e7f95d19b653a55c1e2c383efc2bd19443238dd3008c1cbe147 | Lockbit 3.0 |
| SHA-256 | 6eb6431dcfb1e7105fb05e2d8b01e231f6d4b82a1df3639499d0adacd00757cc | Lockbit 3.0 |
| MD5 | f9ab1c6ad6e788686509d5abedfd1001 | Lockbit 3.0 |
| SHA-1 | 01bce559bb13d783d95ef8e2ad994dac6ed6950c | Lockbit 3.0 |
| SHA-256 | 7050e54ec9374674ba83ee6128a354c732430fe41e22303457ccf6380c9bd672 | Lockbit 3.0 |
| MD5 | bf331800dbb46bb32a8ac89e4543cafa | Lockbit 3.0 |
| SHA-1 | b5d4e2081bcec2bbd13c00c816f2060180ffca87 | Lockbit 3.0 |
| SHA-256 | 7970613a8bdc95bb97d4996d9302153feef816b64a6b1861045a2aec85dcdb8d | Lockbit 3.0 |
| MD5 | bf4d4f36c34461c6605b42c456fa4492 | Lockbit 3.0 |
| MD5 | 1690f558aa93267b8bcd14c1d5b9ce34 | Lockbit 3.0 |
| SHA-1 | cb480fb6281f2c42ac214822416c24e01942cfea | Lockbit 3.0 |
| SHA-256 | 12eb4ca3ec5b7c650123c9053ea513260d802aa52486b7512b53fb7e86ec876b | Lockbit 3.0 |
| MD5 | 1690f558aa93267b8bcd14c1d5b9ce34 | Lockbit 3.0 |
| SHA-1 | cb480fb6281f2c42ac214822416c24e01942cfea | Lockbit 3.0 |
| SHA-256 | 12eb4ca3ec5b7c650123c9053ea513260d802aa52486b7512b53fb7e86ec876b | Lockbit 3.0 |
| MD5 | 5e54923e6dc9508ae25fb6148d5b2e55 | Lockbit 3.0 |
| SHA-1 | 97bef2aed306a8f6bde427fd22e0f20095f14af7 | Lockbit 3.0 |
| SHA-256 | 87b76f35740262abb8da224b94779ff56eb6346318b4f9fb1988a59a72a4e6c9 | Lockbit 3.0 |
| MD5 | ad444dcdadfe5ba7901ec58be714cf57 | Lockbit 3.0 |
| SHA-1 | 61fed673833726bd8261c1c94963ff23c412735a | Lockbit 3.0 |
| SHA-256 | 5aff860634fadee66a6e8220e67f7ebc88bfcde7a905a2753655706c0252afd1 | Lockbit 3.0 |
| MD5 | 56c9c8f181803ece490087ebe053ef72 | Lockbit 3.0 |
| SHA-1 | 424dc482b786bf20dca62e890675bd4c21f45c39 | Lockbit 3.0 |
| SHA-256 | 8fb3b241a2578c6fbaf43a7c4d1481dc5083d62601edece49d1ce68b0b600197 | Lockbit 3.0 |
| MD5 | 13b12238e3a44bcdf89a7686e7179e16 | Lockbit 3.0 |
| SHA-1 | b0fee72899c445da6b93777969ec58eabbafb709 | Lockbit 3.0 |
| SHA-256 | 142cbad8b9d400380c78935e60db104ec080812b1a298f9753a41b2811c856be | Lockbit 3.0 |
| MD5 | ae59e82ddd8d9840b79bfddbe4034462 | Lockbit 3.0 |
| SHA-1 | cf1f380d736c035793581d87868952efe789520a | Lockbit 3.0 |
| SHA-256 | 1d8596310e2ea54b1bf5df1f82573c0a8af68ed4da1baf305bcfdeaf7cbf0061 | Lockbit 3.0 |
| MD5 | 77c5fb080bf77f099c5b5f268dcf4435 | Lockbit 3.0 |
| SHA-1 | 160c8bc7c5284ba5c0f1b68bd61500d7c7a6b2c4 | Lockbit 3.0 |
| SHA-256 | baafd4f1903f80a473facbf3889ee98823fa560c3eecf3fb232e67c78b0c3a80 | Lockbit 3.0 |
| MD5 | 45dfdde3df07b6ccc23b7ae6e3dc1212 | Lockbit 3.0 |
| SHA-1 | 36ff7eb9b5e0c112197de5cbb13761927e201053 | Lockbit 3.0 |
| SHA-256 | f019495a1d4feecc07769dc1fbecccb871634cc707c43befe1ea7aa2c629e337 | Lockbit 3.0 |
| MD5 | 44e8c23bfb649ecf4cb753ec332899dd | Lockbit 3.0 |
| SHA-1 | 465f5b6de78ee184f1ee3400e4edaa0e85558d9e | Lockbit 3.0 |
| SHA-256 | 0d38f8bf831f1dbbe9a058930127171f24c3df8dae81e6aa66c430a63cbe0509 | Lockbit 3.0 |
| MD5 | bd440d2c348b4cc4b6ad75f92d9e1c13 | Lockbit 3.0 |
| SHA-1 | faafd96ac68278360353c35d0bf3d5a353292f11 | Lockbit 3.0 |
| SHA-256 | 391a97a2fe6beb675fe350eb3ca0bc3a995fda43d02a7a6046cd48f042052de5 | Lockbit 3.0 |
| MD5 | 3861f4b6c295d28dd87439b195ecca92 | Lockbit 3.0 |
| SHA-1 | 157bcfaf071f67cb6e9735aea94e22a063d99943 | Lockbit 3.0 |
| SHA-256 | 5043e94612cc5111c07f30968e7bc78e96e277f55262064207a9cd87bc23a343 | Lockbit 3.0 |
| MD5 | 38745539b71cf201bb502437f891d799 | Lockbit 3.0 |
| SHA-1 | f2a72bee623659d3ba16b365024020868246d901 | Lockbit 3.0 |
| SHA-256 | 80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce | Lockbit 3.0 |
| MD5 | 708e492c9b3f82cea7372c4b4f749f80 | Lockbit 3.0 |
| SHA-1 | 3264e647e3505c790b666a348dd59378a7321053 | Lockbit 3.0 |
| SHA-256 | 90235e199dcb2cd6fa2e68fbfc46f1aa649f2438210fd833b8e7e748b6428ba4 | Lockbit 3.0 |
| MD5 | 03b14473eef5b7e38d9a5041c1af0a76 | Lockbit 3.0 |
| SHA-1 | 371353e9564c58ae4722a03205ac84ab34383d8c | Lockbit 3.0 |
| SHA-256 | a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e | Lockbit 3.0 |
| MD5 | e0827fb758b55369388a8b4f559aeb64 | Lockbit 3.0 |
| SHA-1 | 0a43dbe6b69d3fb31c9c424cd98ff3c34734e658 | Lockbit 3.0 |
| SHA-256 | c6861032317562532c21e373b88efacdc1307c8a3efce8c8992584171157ebed | Lockbit 3.0 |
| MD5 | 612d76c9554ae70cb8596d4adc05e4d4 | Lockbit 3.0 |
| SHA-1 | e93b5c6fc09c21fe63465416b1ec1e7487814531 | Lockbit 3.0 |
| SHA-256 | c6cf5fd8f71abaf5645b8423f404183b3dea180b69080f53b9678500bab6f0de | Lockbit 3.0 |
| MD5 | 628e4a77536859ffc2853005924db2ef | Lockbit 3.0 |
| SHA-1 | c2a321b6078acfab582a195c3eaf3fe05e095ce0 | Lockbit 3.0 |
| SHA-256 | d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee | Lockbit 3.0 |
| MD5 | 58e9bb24c56b474a83c6d92cef04a8af | Lockbit 3.0 |
| SHA-1 | a740e04cff97ad2488a519bdc4e2ee1341a6505c | Lockbit 3.0 |
| SHA-256 | f4ab473dcb45beb8cb01ad616422c05a45134c6b028f310f06543e2c33584cef | Lockbit 3.0 |
| MD5 | e1a3b9ae380865201aef8ff892bcbf73 | Lockbit 3.0 |
| SHA-1 | f00a8750a82a4e84417a2c420a6365ecf6be98e4 | Lockbit 3.0 |
| SHA-256 | fd98e75b65d992e0ccc64e512e4e3e78cb2e08ed28de755c2b192e0b7652c80a | Lockbit 3.0 |
| MD5 | 7e37f198c71a81af5384c480520ee36e | Lockbit 3.0 |
| SHA-1 | 0fc248714f6ec153c7841347c12d8b508ee3fb9c | Lockbit 3.0 |
| SHA-256 | 506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51 | Lockbit 3.0 |
| MD5 | 27f7186499bc8d10e51d17d3d6697bc5 | Netscan |
| SHA-1 | 52332ce16ee0c393b8eea6e71863ad41e3caeafd | Netscan |
| SHA-256 | 18f0898d595ec054d13b02915fb7d3636f65b8e53c0c66b3c7ee3b6fc37d3566 | Netscan |
| MD5 | 60bf4ae8cc40b0e3e28613657ed2eed8 | GMER |
| SHA-1 | c1bd4bc1e9408b95f5e63323a463a5dc84f76fba | GMER |
| SHA-256 | 4f61f20fa1edfd0ce1de2ca8110c725c9d9c16a9680748c12042a3302054fc72 | GMER |
| MD5 | e9dc058440d321aa17d0600b3ca0ab04 | GMER |
| SHA-1 | 539c228b6b332f5aa523e5ce358c16647d8bbe57 | GMER |
| SHA-256 | e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173 | GMER |
| SHA-1 | D826A846CB7D8DE539F47691FE2234F0FC6B4FA0 | Lockbit 3.0 |
| IPv4 | 194.26.29.13 | Lockbit 3.0 |
| MD5 | c2bc344f6dde0573ea9acdfb6698bf4c | Lockbit 3.0 |
| SHA-1 | d6ae7dc2462c8c35c4a074b0a62f07cfef873c77 | Lockbit 3.0 |
| SHA-256 | a736269f5f3a9f2e11dd776e352e1801bc28bb699e47876784b8ef761e0062db | Lockbit 3.0 |
| MD5 | 71c3b2f765b04d0b7ea0328f6ce0c4e2 | Lockbit 3.0 |
| SHA-1 | bf8ecb6519f16a4838ceb0a49097bcc3ef30f3c4 | Lockbit 3.0 |
| SHA-256 | ea6d4dedd8c85e4a6bb60408a0dc1d56def1f4ad4f069c730dc5431b1c23da37 | Lockbit 3.0 |
| MD5 | 4d388f95a81f810195f6a8dfe86be755 | Lockbit 3.0 |
| SHA-1 | cb6fdb25a15b7797890fadc2b823984f93da5368 | Lockbit 3.0 |
| SHA-256 | cc3d006c2b963b6b34a90886f758b7b1c3575f263977a72f7c0d1922b7feab92 | Lockbit 3.0 |
| MD5 | 87308ec0a44e79100db9dbec588260ec | Lockbit 3.0 |
| SHA-1 | 939ff7e5eeaccb0c2f4ee080a8e403e532b6317a | Lockbit 3.0 |
| SHA-256 | 03b8472df4beb797f7674c5bc30c5ab74e8e889729d644eb3e6841b0f488ea95 | Lockbit 3.0 |
| MD5 | 4655a7ac60ed48df9b57648db2f567ef | Lockbit 3.0 |
| SHA-1 | 02ea524429ba2aefac63fed27e924ab3659f8c00 | Lockbit 3.0 |
| SHA-256 | a0db5cff42d0ee0de4d31cff5656ed1acaa6b0afab07d19f9f296d2f72595a56 | Lockbit 3.0 |
| MD5 | 23a30838502f5fadc97e81f5000c4190 | Lockbit 3.0 |
| SHA-1 | 9c1142122370c9b28b13aa147c6e126b3be50845 | Lockbit 3.0 |
| SHA-256 | ae993930cb5d97caa5a95b714bb04ac817bcacbbf8f7655ec43e8d54074e0bd7 | Lockbit 3.0 |
参考ソース
- https://www.hhs.gov/sites/default/files/lockbit-3-analyst-note.pdf
- https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit
- https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
- https://asec.ahnlab.com/en/41450/
- https://news.sophos.com/en-us/2022/11/30/lockbit-3-0-black-attacks-and-leaks-reveal-wormable-capabilities-and-tooling/
- https://securityaffairs.com/141666/cyber-crime/lockbit-green-ransomware-variant.html
