LockBit ランサムウェアの被害者が増える中、そのリスクを減らすには
原文のブログはこちらからご覧いただけます。
LockBit ランサムウェアギャングが今週も話題になっています。LockBit の運営者と目され、米国への身柄引き渡しを待つ人物の 1 人が、新たなサイバー犯罪でカナダ当局により起訴されました。同時に、LockBit の被害者も再び増加しています。今回、この脅威アクターの攻撃により侵害された「有名企業」のリストに、世界有数の国際法律事務所が加わりました。
先月には、民間ジェット機および防衛、宇宙、セキュリティシステムを手掛ける世界トップレベルのメーカーの一つに対する攻撃が成功したばかりです。この攻撃で、150 か国以上の顧客が影響を受けた可能性があります。この航空宇宙産業の大手企業は、LockBit が関与するサイバーセキュリティインシデントに対処中であることを公にしました。
この脅威アクターが新たな標的を探し求める中、自身の組織がそのリストに加わるリスクを軽減するにはどうすればよいでしょうか。LockBit のエクスプロイト方法を探り、実践的な対策について確認してみましょう。
ロシアとつながりのある LockBit ランサムウェアギャング
これまで BlackBerryの脅威リサーチ&インテリジェンスチームは、LockBit について広範囲に追跡し、多くの記事を書いてきました。また、LockBit のエクスプロイトに対して当社の Cylance® AI を活用したサイバーセキュリティ製品のテストを実施し、素晴らしい結果を得ています。
ロシアと関係のあるサイバー犯罪集団である LockBit は、その名前の由来となったマルウェアを使用し、最新の亜種である LockBit 3.0 をベースとして RaaS (サービスとしてのランサムウェア)を提供しています。LockBit の運営者は、このマルウェアを保守し、定期的に改良するだけでなく、侵害が成功した後の交渉や実際のマルウェアの操作も行います。LockBit の運営者は、通常、侵害したターゲットに対して「二重恐喝」戦術を使用します。つまり LockBit ランサムウェアは、被害者がデータにアクセスできないようにローカルで暗号化するだけでなく、データを窃取し、身代金を払わなければ公開すると脅すのです。
このマルウェア自身は、LockerGoga や MegaCortex のマルウェアファミリーに属する自己拡散型のマルウェアです。Windows PowerShell や SMB (プロセス間通信を可能にするサーバーメッセージブロック)などのデバイス上に存在する一般的なツールを使って、データの暗号化と窃取だけでなく、攻撃の伝播と拡散も行います。最初の攻撃で 1 台のホストデバイスが感染すると、周囲のシステムを自動的に偵察して横移動しながら、素早く感染し、暗号化していきます。LockBit は、従来のエンドポイント保護プラットフォーム(EPP)で使用されている挙動検知エンジンを欺くように設計されたパターン、一般的なファイル名、その他の挙動を利用することに特に長けています。
LockBit ランサムウェアの主な攻撃段階
敵対的攻撃チェーンには多くの段階がありますが、ランサムウェアのペイロードを投下することが、攻撃を収益化する主な方法であることに変わりはありません。LockBit は、強力な恐喝戦略を利用する、強い動機と高度なスキルを持った攻撃者の典型です。
通常4 つの段階を踏み実行されるLockBit ランサムウェアの攻撃
エクスプロイト:最初の侵害は、組織に対する他の悪意ある多くの攻撃と非常によく似ています。LockBit は、ブルートフォースアクセス(通常は RDP や VPN の脆弱なパスワードを利用)、パッチが適用されていない既知の脆弱性の利用、またはソーシャルエンジニアリングのいずれかの手法を使い、ターゲットネットワークへの最初のアクセスを獲得します。アクセスが得られると、ネットワーク内の近隣のデバイス全体に暗号化されたペイロードを投下するようシステムを準備します。
侵入:ここから、LockBit はすべての行動を自律的に行うようになります。具体的には、攻撃を指示し、既知のツールを使用して権限を昇格させ、アクセス権を獲得して、ターゲットシステムを管理下に置きます。LockBit はこの段階で、データの暗号化と窃取に備えてシステムを準備します。この準備には、システムの復元を可能にするセキュリティアプリケーションやその他のローカルインフラストラクチャの無効化が含まれます。この段階の目的は、LockBit 運営者の助けがなければデータを復元できないようにすることです。
展開:デバイスとネットワークの準備が整ったら、LockBit は完全に動作し、アクセスできるすべてのマシンに伝播していきます。暗号化エンジンがシステム内のすべてのデータをロックし、処理したファイルに「.lockbit」というファイル拡張子を追加します。データの復元には LockBit 運営者が生成したカスタムキーが必要になります。ここで被害者は、連絡先とシステムの復元方法が書かれた LockBit の脅迫状(通常はデバイスのデフォルトの壁紙として掲示)を読むこと以外、何もできなくなっていることに気付きます。
交渉:この時点で、データはローカルに隔離され、暗号化されて窃取されています。この段階でLockBit の運営者が通常用いるのが、悪名高い「二重恐喝」戦術です。システムに残された指示には、多くの場合、身代金を要求する脅迫状が含まれています。その後 LockBit グループは、侵害時に盗んだ機密データを暴露するという脅迫を自身のサイトに掲載し、身代金を支払うことでこの侵害によって引き起こされる可能性のある被害を最小限にするよう、被害者への圧力を高めます。
ランサムウェア攻撃のリスクを減らすには
LockBit が展開するようなランサムウェア攻撃を防ぐための対策には、次のような幾つかの重要なステップがあります。
- 強いパスワードと多要素認証の使用。強いパスワードと MFA を組み合わせて使用することで、LockBit などによるブルートフォース攻撃を緩和できます。
- ユーザーアカウントの権限監査を定期的に実施し、未使用のアカウントを削除。未使用のアカウントを削除し、より機密性の高いデータにアクセス可能なレベルの権限を厳しく制限することで、潜在的な脅威が環境内で自由に動き回れないようにします。重要度や機密性の高いデバイスとデータに対する精査を強化して、必要な場合にのみアクセスが許可されるようにすべきです。
- 適切な設定を行い、最新のパッチを適用し、システムのバックアップを取る。LockBit などの脅威グループは、多くの場合、サイバー衛生の不徹底につけ込みます。システムの設定とパッチ適用を適切に行えば、多くの横方向の移動を防ぐことができ、マルウェアが持つ侵害中に権限を自己昇格させる能力を制限できます。またシステムバックアップは、もし侵害を受けても迅速に復旧し、ビジネスの継続性を取り戻すために重要です。ただし、攻撃中に流出したデータの暴露を防ぐことはできません。バックアップの作成時は、少なくとも 1 つのコピーを常にオフラインで、できれば離れた場所で保管するようにしてください。
包括的な AI 駆動型防御ソリューションを展開する。BlackBerry の Cylance® AI は、即座に LockBit のようなランサムウェアを阻止できます。LockBit はデバイス上の保護機能を無効にしようとする可能性がありますが、CylanceENDPOINT™ のような AI 駆動型ソリューションは、LockBit がその段階に到達することさえ許さず、お客様の環境でマルウェアが実行される前に阻止します。
AI 駆動型サイバーセキュリティが最強
BlackBerry の最新の四半期版「グローバル脅威インテリジェンスレポート」では、ユニークなマルウェアの急激な増加が明らかになっています。シグネチャに依存する従来のアンチウイルス製品でも既知の脅威を阻止するには十分な場合が少なくありませんが、ランサムウェアを定期的にアップグレードする LockBit のような高度な脅威集団は、こういったタイプの自動防御を容易にかいくぐることができます。これらの新しい脅威を迅速に解析してブロックし、サイバーセキュリティチームの燃え尽きを避けるには、俊敏な AI 駆動型の防御が重要です。ただし、すべての AI が同じというわけではありません。注目すべきはその点です。
大手独立系テストラボであり、テック業界向けのサードパーティ検証サービスの著名なプロバイダである Tolly Group は、最近の独立テストで、BlackBerry の CylanceENDPOINT ソリューションが、他の主要なエンドポイント保護ベンダーと比べて最大 133% 多くのマルウェアをブロックし、13 倍高速に、20 倍近く少ないシステムリソースで動作することを示しました。多くの組織がエンドポイント防御に投資する理由はサイバー攻撃の阻止です。そして、Tolly Group によるテストは CylanceENDPOINT が最新の攻撃を阻止できる強力なソリューションだと明確に証明しています。それがお客様に選ばれている理由なのです。
緊急のサポートが必要な場合は、電子メールでご連絡いただくか(DLIR@blackberry.com)、または当社のお問い合わせフォームをご利用ください。