LockBit ransomware

LockBit ランサムウェア ギャングは、別の操作に基づく暗号化ツールの使用を再開しました。今回は、流出した Conti ランサムウェアのソース コードに基づく暗号化ツールに切り替えました。

開始以来、LockBit 操作は、独自の暗号化から始まり、BlackMatter ギャングのソース コードから派生した LockBit 3.0 (別名 LockBit Black) に移行するまで、多数の暗号化の反復を経てきました。

今週、サイバーセキュリティ集団 VX-Underground は、ランサムウェア ギャングが、現在は解散した Conti ギャングの流出したソース コードに基づいて、「LockBit Green」という名前の新しい暗号化ツールを使用していることを最初に報告しました。

Conti ランサムウェア ギャングは、170,000 件の内部メッセージ暗号化プログラムのソース コードが漏洩したことによる一連の厄介なデータ侵害の後、活動を停止しました。

ソースコードが流出した直後に、他のハッキンググループがそれを利用して独自の暗号化ツールを作成し始め、 皮肉なことにロシアの企業に対して使用された.

LockBit Green の外観

LockBit Green のニュースが公開されて以来、研究者は、VirusTotal やその他のマルウェア共有サイトで出回っている新しい暗号化ツールのサンプルを発見しました。

CyberGeeksTechとして知られるマルウェア アナリストは、LockBit Green のサンプルをリバース エンジニアリングし、 以前に分析した Conti 暗号化プログラムに間違いなく基づいていると述べました。

「サンプルを分析したところ、100% コンティのソース コードに基づいています」と研究者は語っています。

「復号化アルゴリズムは類似性の例にすぎません。彼らが Conti に基づいてペイロードを構築することを選択したのは奇妙です。彼らはしばらくの間、独自の暗号化機能を持っています。」

サイバーセキュリティ企業の PRODAFT も、発見したLockBit Green サンプルの 4 つの MD5 ハッシュを共有しました。これには、新しい亜種を検出できる Yara ルールが含まれます。

PRODAFT は、新しい LockBit Green 亜種を使用して攻撃された被害者を少なくとも 5 人知っていると述べました。

PRODAFT が共有するサンプルの 1 つをテストしました。このサンプルは、以前の Conti 暗号化ツールと同じコマンドライン引数を使用します。

以下に示すように、身代金メモは、Conti の形式ではなく LockBit 3.0 身代金メモを使用するように変更されています。

LockBit Green の身代金メモ
LockBit Green の身代金メモ
ソース:

ただし、私たちが気付いた 1 つの変更点は、LockBit Green が標準の.lockbit拡張子ではなく、ランダムな拡張子のように見えるものを使用していることです。

LockBit Green で使用される異なる暗号化ファイル拡張子
LockBit Green で使用される異なる暗号化ファイル拡張子
ソース:

以前の暗号化システムが正常に機能していたのに、なぜ LockBit 操作が新しい Conti ベースの暗号化システムを利用しているのかは不明ですが、PRODAFT が答えを持っている可能性があります。

「発表後、元コンティ メンバーは LockBit Green を好むことが特に観察されました。彼らはおそらく、コンティ ベースのランサムウェアを安心して使用できると感じているでしょう」と PRODAFT 氏は .