FBI、ランサムウェア「Lockbit」の技術詳細と防御策を公開:SHIFT + F1キーボードショートカットの隠しコマンドが存在

news

米連邦捜査局(FBI)は、LockBitランサムウェアの攻撃に関連する技術的な詳細と侵害の指標を公開しました。

https://www.ic3.gov/Media/News/2022/220204.pdf

LockBit 2.0は、ビット演算を用いて文字列を解読し、必要なモジュールをロードして検知を逃れる、高度に難読化されたランサムウェアと言えます。
演算を用いて文字列を解読し、必要なモジュールをロードすることで検出を回避します。

また、ネットワーク侵入を阻止するための情報を提供しています。

ランサムウェア「LockBit」は、ランサムウェア・アズ・ア・サービス(RaaS)としてサービスを開始した2019年9月以降、非常に活発に活動しており、ロシア語のハッキングフォーラムで協力者を募り、ネットワークに侵入して暗号化して脅迫金を得ています

2021年6月、ランサムウェアグループがサイバー犯罪フォーラムへの投稿を禁止されたことを受けて、ロックビットはデータリークサイトで「LockBit 2.0 RaaS」を発表しました

本グループは、Torサイトのデザインを変更し、マルウェアを隠し、Active Directoryグループポリシーを介してWindowsドメイン全体のデバイスを自動的に暗号化するなど、より高度な機能を追加しています。

また、仮想プライベートネットワーク(VPN)やリモートデスクトッププロトコル(RDP)を介して企業ネットワークへのアクセスを提供するインサイダーを募集し、仲介業者を排除しようとしています。

1月には、ロックビットがVMware ESXiサーバーをターゲットにしたLinuxの暗号化装置もツールキットに加えていることが判明しました。

また、FBIは、LockBitランサムウェアの動作に関する技術的な詳細として、このマルウェアには隠しデバッグウィンドウが搭載されており、感染プロセス中にSHIFT + F1のキーボードショートカットを使用して起動できることを明らかにしました。

このウィンドウが表示されると、暗号化プロセスに関するリアルタイムの情報を表示したり、ユーザーのデータ破壊の状況を追跡したりすることができます。

今回のアドバイザリーは、オーストラリアのサイバーセキュリティ機関が2021年8月に発表した、LockBitランサムウェアの攻撃が急速にエスカレートしていることを警告するアラートに続くものです。

フォーチュン500企業であり、世界最大級のITサービス・コンサルティング会社であるAccenture社は、LockBitが同社のネットワークから盗んだデータを流出させると脅し、5,000万ドルの身代金を要求していました。

FBIは、今回のレポート発表のきっかけについては言及していませんが、管理者やサイバーセキュリティの専門家に対して企業のネットワークを標的としたLockBit攻撃に関する情報を共有するよう求めています。

FBIは、外国のIPアドレスとの通信を示す境界線のログ、身代金請求書のサンプル、脅威となる人物との通信、ビットコインウォレットの情報、解読ファイル、暗号化されたファイルの良性のサンプルなど、共有できるあらゆる情報を求めています

FBIは、この文書を受け取った方に不審な行動や犯罪行為に関する情報を最寄りのFBI支部に報告することをお勧めします。

関連情報をFBIサイバー・スクワッドに報告することで、FBIが悪意のある行為者を追跡し、将来の侵入や攻撃を防ぐために民間企業や米国政府と連携するための情報共有に協力していただくことになります

ネットワークを防御する方法

FBIは、LockBitランサムウェアによる攻撃からネットワークを守るための対策を紹介しています。

  • パスワードでログインするすべてのアカウント(サービスアカウント、管理者アカウント、ドメイン管理者アカウントなど)に、強力で固有のパスワードを設定することを義務付ける。
  • 可能な範囲で、すべてのサービスに多要素認証を要求する。
  • すべてのオペレーティング・システムおよびソフトウェアを最新の状態に保つ
  • 不必要な管理共有へのアクセスを排除する
  • ホストベースのファイアウォールを使用し、限られた管理者マシンからのSMB(Server Message Block)を介した管理共有への接続のみを許可すること
  • Windowsオペレーティング・システムで保護ファイルを有効にし、重要なファイルへの不正な変更を防ぐ。

また、管理者は以下の対策を講じることで、ランサムウェア運営者のネットワーク発見活動を妨げることができます。

  • ランサムウェアの拡散を防ぐためにネットワークを分割する。
  • ネットワーク監視ツールを使用して、異常な活動やランサムウェアが侵入した可能性を特定、検出、調査する。
  • 管理者レベル以上のアカウントには、時間ベースのアクセス権を設定する。
  • コマンドラインやスクリプティングの動作や権限の無効化
  • データのオフラインバックアップの維持、および定期的なバックアップと復元の維持
  • すべてのバックアップデータは暗号化され、不変的であり、組織のデータインフラ全体をカバーすること

また、FBIは、身代金を支払うことを推奨しておらず、支払うことで将来の攻撃やデータ漏洩から身を守れるとは限らないため、身代金を支払わないことを推奨しています。

さらに、ランサムウェアグループの要求に応じることは、彼らの活動資金をさらに増やし、より多くの被害者を狙う動機となります。また、他のサイバー犯罪グループが彼らに加わって違法行為を行う動機にもなります。

しかし、FBIはランサムウェア攻撃の影響により、企業が株主や顧客、従業員を守るために身代金の支払いを検討せざるを得なくなる可能性があることを認めています。

身代金を支払った後でも、FBIは、ランサムウェアの攻撃者を追跡し、その行動に責任を持たせることで今後の攻撃を防止するための重要な情報を提供することができるため、ランサムウェアの事件を速やかに報告することを勧めています。

Comments

Copied title and URL