LockBitとは【用語集詳細】
LockBit(ロックビット)は二重恐喝型ランサムウェアです。
バージョン2.0(RED)から3.0(BLACK)、GREENと改良を続けており、2022年時点で最も活発に攻撃を行っているRaaSです。
標的システムに侵入後、データを暗号化しリークサイトにて身代金支払いを要求する手法は、他のランサムウェアと同一ですが、データ暗号化の速度が非常に高速である点が特徴です。
LockBitの運用者は、Dridexの開発運用を行った前例のあるサイバー犯罪組織Evil Corpであると推測されています。これまでに、米CISA、FBIなどが複数回注意喚起を行っています。
またLockBitは、標的企業に不正アクセスするための内通者を募集し、攻撃が成功した場合の報酬を提示しています。
このランサムウェアはアクセスしたシステムの使用言語をチェックし、ロシアおよび旧ソ連諸国の資産に対しては攻撃を行わないよう設計されています。
2022年9月、現行のLockBit3.0のビルダー(ランサムウェア作成ツール)が、構成員の離反によってリークされました。このビルダーを利用する別のランサムウェア組織(Bloody)も出現しています。
2022年12月に米国保健福祉省が公開したLockBitに関する分析ノートでは、LockBitが頻繁に用いる攻撃手段として、既知の脆弱性の悪用、VPN機器の脆弱性悪用、RDPの侵害、フィッシング攻撃を挙げています。
2023年1月には、セキュリティ研究者が新たなバージョンであるGREENを発見しました。このバージョンは、仲間割れによって解散したContiランサムウェアの流出ソースコードを元に暗号化機能を構成していることが判明しています。
同年4月、macOSをターゲットにした暗号化機能が開発されていることがセキュリティ研究者によって発見されました。
2023年4月、米CISAが「悪用が確認されている脆弱性」に登録したPaperCut印刷管理ソフトの脆弱性(CVE-2023–27350およびCVE-2023–27351)について、LockBitおよびClop(Cl0p)が悪用していることが報道されました。
2024年2月、欧州刑事警察機構は、10か国からなる法執行機関チームがLockBitのインフラをテイクダウンしたことを発表しました(外部リンク)。ただし、LockBitの運営はその後も継続しているとの報道があります。
