LockBit 3.0ランサムウェア分析レポート公開

今年3月24日から4月第1週までの3週間、ベトナムのサイバースペースでは、金融、証券、エネルギー、通信などの重要な分野で事業を展開するベトナムの大企業に対するランサムウェア形式の標的型攻撃が連続して発生しました。これらの攻撃により、企業のシステムは一定期間停止し、サイバー犯罪者グループの標的となったシステムを持つ組織に重大な経済的損害と評判の損害をもたらしました。

ベトナムの企業の情報システムを最近攻撃した攻撃者グループと原因を分析・調査する過程で、当局は、これらのインシデントがLockBit、BlackCat、Malloxなど、さまざまな攻撃グループの「産物」であることを発見しました。特に、3月24日午前10時にVNDIRECTシステムがランサムウェア攻撃を受け、ベトナム株式市場上位3社のすべてのデータが暗号化された事件では、当局はLockBit 3.0マルウェアを使用するLockBitグループが、このインシデントの背後にいることを突き止めました。

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
国家サイバーセキュリティセンターA05部( 公安部)は、2024年3月に発生したVNDIRECT証券企業システムへの攻撃がLockBit 3.0によって実行されたことを確認した。

LockBitグループは世界中で、大企業や組織を標的とした数多くのランサムウェア攻撃を仕掛けてきました。例えば、2023年6月と10月には、この悪名高いランサムウェアグループが半導体製造会社TSMC(台湾、中国)とIT製品・サービス会社CDWを攻撃し、LockBitグループが企業に要求した身代金は最大7,000万~8,000万米ドルに上りました。

ベトナムの政府機関、組織、企業が、一般的なランサムウェア攻撃やLockBitグループによる攻撃の危険度とリスクの予防方法および最小限に抑える方法をより深く理解できるよう支援することを目的として、情報セキュリティ局(情報通信省)傘下の国家サイバーセキュリティ監視センター(NCSC)は、サイバースペースに関する情報源を統合し、「ランサムウェアLockBit 3.0に関する分析レポート」を発表しました。

世界で最も危険なランサムウェアグループ

NCSC が実施した新しいレポートは、LockBit ランサムウェア攻撃グループに関する情報、アクティブな LockBit クラスター、LockBit 3.0 に関連して記録されたサイバー攻撃インジケーターのリスト、ランサムウェア攻撃によるリスクを防止および最小限に抑える方法など、4 つの主要なコンテンツを提供することに重点を置いています。

NCSCの報告書は、LockBitを世界で最も危険なランサムウェアグループの1つに指定し、2019年の初登場以来、LockBitは様々な業種の企業や組織を標的に多数の攻撃を実行してきたと述べています。同グループは「Ransomware-as-a-Service(RaaS)」モデルで活動しており、脅威アクターはランサムウェアを展開し、その利益をサービスの背後にいる者と分配することができます。

ロックビットランサムウェア.jpg
専門家によると、LockBitは世界で最も危険なランサムウェアグループの一つです。イラスト:Bkav

注目すべきは、2022年9月に「ali_qushji」という人物がXプラットフォーム(旧Twitter)上でLockBit 3.0のソースコード(このランサムウェアの開発に使用された可能性のある名前を含む)を漏洩したことです。この漏洩により、専門家はLockBit 3.0ランサムウェアのサンプルをさらに分析することができました。しかし、その後、脅威アクターはLockBit 3.0のソースコードに基づいて、新たなランサムウェアの亜種を次々と作成しています。

NCSCの報告書は、TronBit、CriptomanGizmo、Tina TurnerといったアクティブなLockBitランサムウェアクラスターの攻撃手法を分析するとともに、LockBit 3.0に関連する記録されたサイバー攻撃の兆候のリストも各機関に提供しています。 「国家サイバースペースポータルのalert.khonggianmang.vnページで、IOCの兆候情報を継続的に更新していきます」とNCSCの専門家は述べています。

「LockBit 3.0 ランサムウェア分析レポート」で特に重要な部分は、機関、組織、企業に対し、ランサムウェア攻撃のリスクを防止し、最小限に抑える方法をガイドする内容です。ベトナムの支援部隊がランサムウェア攻撃を防止し、対応する上で重要な注意事項は、情報セキュリティ局が4月6日に発表した「ランサムウェア攻撃のリスクを防止し、最小限に抑えるための対策に関するハンドブック」に記載されており、NCSCの専門家によって引き続き実施が推奨されています。

W-アンチランサムウェア-1.jpg
情報セキュリティ局がランサムウェア攻撃を防ぐために組織に推奨する9つの対策の一つは、システム侵入を早期に検知するための継続的な監視である。イラスト写真:Khanh Linh

専門家によると、今日のランサムウェア攻撃は、多くの場合、機関や組織のセキュリティ上の脆弱性から始まり、攻撃者はシステムに侵入し、活動を継続させ、侵入範囲を拡大し、組織のITインフラを制御し、システムを麻痺させます。その目的は、暗号化されたデータの復旧を望む真の被害者組織に身代金を支払わせることです。

5日前にVNDIRECTシステムへの攻撃が発生した際、情報セキュリティ局の代表者は、インシデント対応支援活動の調整に参加している部隊の観点から、 VietNamNetの記者に次のようにコメントした。「今回の事件は、ベトナムの組織や企業のネットワークの安全性とセキュリティに対する意識を高めるための重要な教訓です。」

そのため、特に金融、銀行、証券、エネルギー、通信などの重要な分野で事業を展開している機関、組織、企業は、緊急かつ積極的に既存のセキュリティシステムと専門人材の両方を見直し、強化するとともに、インシデント対応計画を策定する必要があります。

「組織は、情報セキュリティとネットワークセキュリティに関する制定された規制、要件、ガイドラインを厳格に遵守する必要があります。潜在的なサイバー攻撃から自らと顧客を守ることは、各組織と企業の責任です」と、情報セキュリティ部門の担当者は強調した。

LockBitランサムウェアは、暗号化されたファイル拡張子にちなんで当初ABCDとして知られていましたが、数か月後にABCDの亜種が現在のLockbitという名称で登場しました。1年後、このグループはアップグレード版のLockBit 2.0(LockBit Redとも呼ばれる)をリリースしました。これには、機密データを窃取するためのStealBitと呼ばれる別のマルウェアが組み込まれていました。LockBit 3.0(LockBit Blackとも呼ばれる)は最新バージョンで、2022年にリリースされ、新機能と強化された回避技術を備えています。
PVOIL システムはなぜランサムウェア攻撃後すぐに回復できるのでしょうか?

PVOIL システムはなぜランサムウェア攻撃後すぐに回復できるのでしょうか?

PVOIL がランサムウェア攻撃を迅速に修復し、わずか数日で業務を復旧できたのは、システム サイズがそれほど大きくないことに加え、バックアップ データがあったことが重要な要素でした。
ランサムウェア攻撃に対する防御力を高めるためのセキュリティ文化の形成

ランサムウェア攻撃に対する防御力を高めるためのセキュリティ文化の形成

CDNetworks Vietnamによると、企業は従業員のトレーニングに投資し、セキュリティ文化を形成し、人事とセキュリティチームの協力を促進することで、ランサムウェア攻撃を含むサイバー攻撃に対する防御力を強化できるという。
データのために身代金を支払うことは、ハッカーによるランサムウェア攻撃の増加を助長することになる

データのために身代金を支払うことは、ハッカーによるランサムウェア攻撃の増加を助長することになる

専門家は、ランサムウェアの攻撃を受けた組織はハッカーに身代金を支払うべきではないという点で一致しています。身代金を支払うと、ハッカーは他の標的を攻撃したり、他のハッカーグループが自らのシステムへの攻撃を継続したりするようになります。