IT セキュリティ: LockBit 4.0 の基礎の解除

25。月2024

トレンドマイクロは、英国国家犯罪庁 (NCA) と協力して、LockBit 暗号化プログラムの開発中および未リリースのバージョンを分析し、将来的に製品ライン全体がサイバー犯罪者にとって使用できなくなるようにしました。

犯罪グループとして、LockBit は革新的で新しいことを試みることで知られていました。この革新的な開発の過程で、LockBit は、バージョン v1 (2020 年 2.0 月) から LockBit 2021 (3.0 年 2022 月からの愛称「レッド」)、そして LockBit 2021 (2023 年 4.0 月からの「ブラック」) まで、ランサムウェアのいくつかのバージョンをリリースしました。 XNUMX 年 XNUMX 月に、脅威アクターは Linux を導入しました。最後に、暫定バージョン「Green」が XNUMX 年 XNUMX 月に登場しました。これには、明らかに廃止された Conti ランサムウェアから取得されたコードが含まれていました。ただし、このバージョンは新しいバージョン XNUMX ではありませんでした。

LockBit 4.0 がインターセプトされました

私たちは最近、以前のバージョンとは異なる、LockBit のプラットフォームに依存しないマルウェアの開発中バージョンと思われるサンプルを分析することができました。このサンプルでは、暗号化されたファイルにサフィックス「locked_for_LockBit」を追加します。これは構成の一部であるため、引き続き変更できます。現在の開発状況により、この亜種を LockBit-NG-Dev と名付けました。これは、グループが確実に取り組んでいる LockBit 4.0 の基礎となる可能性があると考えられます。

基本的な変更には次のものが含まれます。

LockBit-NG-Dev は .NET で書かれ、CoreRT でコンパイルされます。コードを .NET 環境と一緒に使用する場合、それはプラットフォームに依存しません。
この言語への切り替えによりコードベースは完全に新しくなりました。つまり、コードベースを検出するには新しいセキュリティパターンを作成する必要がある可能性があります。
v2 (Red) や v3 (Black) に比べて機能は少ないですが、開発が進むにつれて追加される可能性があります。現状でも、これは依然として機能的で強力なランサムウェアです。
ユーザーのプリンタを介して身代金メモを自己配布および印刷する機能は削除されました。
現在の日付を確認することで実行に有効期限が設定されるようになり、オペレーターがアフィリエイトの使用状況を管理しやすくなり、セキュリティ会社の自動分析システムが困難になる可能性がある。
v3 (Black) と同様に、このバージョンにも、ルーチンのフラグ、強制終了するプロセスとサービス名のリスト、および回避するファイルとディレクトリを含む構成が残っています。
さらに、暗号化されたファイルのファイル名は、引き続きランダムな名前に変更できます。

トレンドマイクロも、LockBit-NG-Dev の詳細な技術分析を英語のブログ記事でオンラインで提供しています。

詳しくは TrendMicro.com をご覧ください

トレンドマイクロについて

トレンドマイクロは、IT セキュリティの世界有数のプロバイダーとして、デジタルデータ交換のための安全な世界の構築を支援しています。 30 年以上にわたるセキュリティの専門知識、グローバルな脅威研究、および絶え間ない革新により、トレンドマイクロは企業、政府機関、および消費者に保護を提供します。当社の XGen™ セキュリティ戦略のおかげで、当社のソリューションは、最先端の環境向けに最適化された防御技術の世代を超えた組み合わせの恩恵を受けています。ネットワーク化された脅威情報により、より優れた迅速な保護が可能になります。クラウドワークロード、エンドポイント、電子メール、IIoT、およびネットワーク向けに最適化された当社のコネクテッドソリューションは、企業全体にわたって一元化された可視性を提供し、より迅速な脅威の検出と対応を実現します。