LockBit 3.0 ランサムウェア分析レポートが公開されました

今年3月24日から4月第1週までの3週間、ベトナムのサイバースペースでは、金融、証券、エネルギー、通信などの重要な分野で事業を展開するベトナムの大手企業に対するランサムウェアによる標的型攻撃が連続して発生しました。これらの攻撃により、企業のシステムは一定期間停止し、サイバー犯罪者グループの標的となったシステムを持つ組織に重大な経済的損害と評判の損害を与えました。

ベトナムの企業の情報システムを最近攻撃した攻撃者グループと原因を分析・調査する過程で、当局は、これらのインシデントがLockBit、BlackCat、Malloxなど、さまざまな攻撃グループの「産物」であることを発見しました。特に、3月24日午前10時にVNDIRECTシステムがランサムウェア攻撃を受け、ベトナム株式市場上位3社のすべてのデータが暗号化された事件では、当局はLockBit 3.0マルウェアを使用するLockBitグループが、このインシデントの背後にいることを突き止めました。

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
国家サイバーセキュリティセンターA05部( 公安部)は、2024年3月に発生したVNDIRECT証券会社システムへの攻撃はLockBit 3.0によって実行されたことを確認した。

LockBitグループは世界中で、大企業や組織を標的とした数多くのランサムウェア攻撃を仕掛けてきました。例えば、2023年の6月と10月には、この悪名高いランサムウェアグループが半導体製造会社TSMC(台湾、中国)とIT製品・サービス会社CDWを攻撃し、LockBitグループが企業に要求したデータ身代金は最大7,000万~8,000万米ドルに上りました。

ベトナムの政府機関、組織、企業が、一般的なランサムウェア攻撃やLockBitグループによる攻撃の危険度とリスクの予防方法および最小限に抑える方法をより深く理解できるよう支援することを目指し、情報セキュリティ局(情報通信省)傘下の国家サイバーセキュリティ監視センター(NCSC)は、サイバースペースに関する情報源を統合し、「ランサムウェアLockBit 3.0の分析レポート」を発表しました。

世界で最も危険なランサムウェアグループ

NCSC が実施した新しいレポートは、LockBit ランサムウェア攻撃グループに関する情報、アクティブな LockBit クラスター、LockBit 3.0 に関連して記録されたサイバー攻撃インジケーターのリスト、ランサムウェア攻撃によるリスクを防止および最小限に抑える方法など、4 つの主要なコンテンツを提供することに重点を置いています。

NCSCの報告書は、LockBitを世界で最も危険なランサムウェア集団の一つと位置付け、2019年の初登場以来、様々な業種の企業や組織を標的に多数の攻撃を仕掛けてきたと指摘しています。同集団は「Ransomware-as-a-Service(RaaS)」モデルを採用しており、脅威アクターはランサムウェアを展開し、その利益をサービスの背後にいる者と分配することができます。

ランサムウェア ロックビット.jpg
専門家によると、LockBitは世界で最も危険なランサムウェアグループの一つです。イラスト:Bkav

特筆すべきは、2022年9月に「ali_qushji」という人物がXプラットフォーム(旧Twitter)上でLockBit 3.0のソースコード(このランサムウェアの開発に使用された可能性のある名前を含む)を漏洩したことです。この漏洩により、専門家はLockBit 3.0ランサムウェアのサンプルをさらに分析することができました。しかし、その後、脅威アクターはLockBit 3.0のソースコードに基づいて、新たなランサムウェアの亜種を次々と作成しています。

NCSCの報告書は、TronBit、CriptomanGizmo、Tina TurnetといったアクティブなLockBitランサムウェアクラスターの攻撃手法を分析するとともに、記録されているLockBit 3.0関連のサイバー攻撃指標のリストも各機関に提供しています。 「国家サイバースペースポータルのalert.khonggianmang.vnページで、IOC指標情報を継続的に更新していきます」とNCSCの専門家は述べています。

「LockBit 3.0 ランサムウェア分析レポート」で特に重要な部分は、政府機関、組織、企業に対し、ランサムウェア攻撃のリスクを防止し、最小限に抑える方法を指導する内容です。ベトナムの支援部隊がランサムウェア攻撃を防止し、対応する上で重要な注意事項は、情報セキュリティ局が4月6日に公開した「ランサムウェア攻撃のリスクを防止し、最小限に抑える対策に関するハンドブック」に記載されており、NCSCの専門家によって引き続き実施が推奨されています。

W-ランサムウェア対策攻撃-1.jpg
情報セキュリティ局がランサムウェア攻撃を防ぐために組織に推奨する9つの対策の一つは、システム侵入を早期に検知するための継続的な監視である。イラスト写真:Khanh Linh

専門家によると、今日のランサムウェア攻撃は、多くの場合、機関や組織のセキュリティ上の脆弱性から始まり、攻撃者はシステムに侵入し、侵入を継続し、侵入範囲を拡大し、組織のITインフラを制御し、システムを麻痺させます。その目的は、暗号化されたデータの復旧を望む真の被害者組織に身代金を支払わせることです。

5日前にVNDIRECTシステムへの攻撃が発生した際、情報セキュリティ局の代表者は、インシデント対応支援活動の調整に参加している部隊の観点から、 VietNamNetの記者に次のようにコメントした。「今回の事件は、ベトナムの組織や企業のネットワークの安全性とセキュリティに対する意識を高めるための重要な教訓です。」

そのため、特に金融、銀行、証券、エネルギー、通信などの重要な分野で事業を展開している機関、組織、企業は、緊急かつ積極的に既存のセキュリティシステムと専門人材の両方を見直し、強化するとともに、インシデント対応計画を策定する必要があります。

「組織は、情報セキュリティとネットワークセキュリティに関する制定された規制、要件、ガイドラインを厳格に遵守する必要があります。潜在的なサイバー攻撃から自らと顧客を守ることは、各組織と企業の責任です」と、情報セキュリティ部門の担当者は強調した。

LockBitランサムウェアは、暗号化されたファイル拡張子にちなんで当初ABCDとして知られていましたが、数か月後にABCDの亜種が現在の名称であるLockbitで登場しました。1年後、このグループはアップグレード版のLockBit 2.0(LockBit Redとも呼ばれる)をリリースしました。これには、機密データを窃取することを目的としたStealBitと呼ばれる別のマルウェアが統合されていました。LockBit 3.0(LockBit Blackとも呼ばれる)は最新バージョンで、2022年にリリースされ、新機能と強化された回避技術を備えています。
PVOIL システムがランサムウェア攻撃後に迅速に回復できるのはなぜですか?

PVOIL システムがランサムウェア攻撃後に迅速に回復できるのはなぜですか?

それほど大きくないシステムサイズに加えて、PVOIL がわずか数日でランサムウェア攻撃を迅速に修復し、業務を復旧できた重要な要素は、バックアップ データでした。
ランサムウェア攻撃に対する防御力を高めるためのセキュリティ文化の形成

ランサムウェア攻撃に対する防御力を高めるためのセキュリティ文化の形成

CDNetworks Vietnamによると、企業は従業員のトレーニングに投資し、セキュリティ文化を形成し、従業員とセキュリティチームの協力を促進することで、ランサムウェア攻撃を含むサイバー攻撃に対する防御力を強化できます。
身代金を支払うと、ハッカーはランサムウェア攻撃を増やすことになる

身代金を支払うと、ハッカーはランサムウェア攻撃を増やすことになる

専門家は、ランサムウェアの攻撃を受けた組織はハッカーに身代金を支払うべきではないという点で一致しています。身代金を支払うと、ハッカーは他の標的を攻撃したり、他のハッカーグループがその組織への攻撃を継続したりするようになります。