LockBit 3.0 ランサムウェア : Chromeでもダークウェブへアクセスさせる親切なハッカー
LockBit 3.0 ランサムウェア とは?
LockBit 3.0 ランサムウェア(LockBit Black)とは、ランサムウェア犯罪組織のLockBitが作ったランサムウェアです。2019年の9月に初攻撃が発生し、アップグレードされたLockBit 2.0では2021年の7月末まで活動し続けてきました。このグループは世界中の企業に対して多大な損害を与え、2022年の7月上旬、LockBit 3.0でバージョンアップして再び登場しました。LockBit 3.0プログラムに感染されると、他のランサムウェア攻撃と同様に感染されたデバイスの全てのファイルが暗号化され、感染されたデバイスのデータを復旧あるいは流出を防ぐためには身代金(Ransom)を払えと要求します。
出典:Bleepingcomputer (https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/)
履歴書に偽装したLockBit 3.0 ランサムウェア配布のメール
2022年9月14日、ある企業のメールに次のような履歴書メールが受信されました。メールのタイトルは「水原健太郎」で人と名前のような形をしていました。メールは入社の申し込みをするために履歴書を送るという内容でした。下のメールはLockBit 3.0ランサムウェアの悪性コードを配布するために履歴書に偽造された攻撃メールでした。CIPチームは、その攻撃メールと添付されたランサムウェアの悪性コードを分析してみました。
メールの内容は入社の申し込みに関する内容ですが、詳しく見ると文章の文脈が合っていなかったり、文法が間違っている部分が多いです。企業の入社志望のメールを書くときは特に文法に気を付けるのが普通ですが、上のメールはまともな入社志望者のメールだとは言えないほど文法がめちゃくちゃです。また、別の添付ファイルもなく、「ポートフォリオ確認」というテキストにファイルダウンロードのリンクが入れてあります。
メールの内容は入社の申し込みに関する内容ですが、詳しく見ると文章の文脈が合っていなかったり、文法が間違っている部分が多いです。普段、企業の入社志望のメールを書くときは特に文法に気を付けるのが普通ですが、該当メールはまともな入社志望者のメールだとは言えないほど文法がめちゃくちゃです。また、別の添付ファイルもなくて、「ポートフォリオ確認」というテキストにファイルダウンロードのリンクが入れてあります。
リンクをクリックすると、「Resume4.7z」という名前の圧縮ファイルがダウンロードされ、圧縮を戻すと最終的に「履歴書5.exe」ファイルが確認されます。
攻撃が発生しても被害がないよう仮想の環境で「履歴書5.exe」プログラムを実行してみました。
ランサムウエアプログラムを実行する前(左)と後(右)の壁紙アイコンの変化
上のスクリーンショットにあった「.png」、「.jpg」、「.doc」ファイルの拡張子が全て「aHnwAFWcS」という拡張子に変更されました。ファイル名も無作為型のファイル名に変更され、アイコンはLockBitグループのロゴアイコンに変更されました。
時間がもっと経つと、壁紙のイメージもLockBit Blackのメッセージが込めたイメージに変更されました。
LockBit 3.0 ランサムウエア攻撃を受けたPCの壁紙、
ファイルが全て暗号化され、TXTファイルを実行しろというメッセージが書いてある
ランサムウェアノートに入ったLockBit 3.0ダークウェブサイト
~~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.Tor Browser Links:
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onionhttp://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onionhttp://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onionhttp://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onionhttp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onionhttp://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onionhttp://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onionhttp://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onionhttp://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onionLinks for normal browser:http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion.lyhttp://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onion.lyhttp://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion.lyhttp://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onion.lyhttp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion.lyhttp://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onion.lyhttp://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion.lyhttp://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onion.lyhttp://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onion.ly
CIPのドメイン検索は、検索したドメインにアクセスする際に他のURLにリダイレクトされる際、最終の目的地のリンクまでスキャンしてその経路を示します。また、該当ページのリアルタイムスクリーンショットも確認ができて、間接的にページに接近することができます。
LockBit 3.0のウェブサイトは検索結果のProbability of Phishing URLを確認してみると99.74%の高い確率でフィッシング悪性ドメインに確認されます。最終スコアは80%で、やはり悪性URLに認知しました。
感染したサイトや解読の制限時間が示される
スクリーンショットを見ると、LockBit 3.0のウェブサイトにみえるロゴや文句が確認され、感染された様々なサイトの暗号解読の制限時間が示されています。
実際にLockBit 3.0の攻撃を受けた被害者らはこのウェブサイトにアクセスして身代金を払うか、払わずに装置に保存されたデータを全て失ってしまいます。敏感な情報がダークウェブサイトに流出される場合もあります。
LockBit 3.0 悪性コード ファイルの攻撃行為の分析結果
CIP チームはLockBit 3.0ランサムウェア攻撃に使われたexeファイルの攻撃行為を分析しました。
VirusTotal LockBit 3.0 悪性コード ファイルの分析結果
履歴書5.exe ファイルの行為を把握するためにVirusTotalにファイルをアップロードした結果は次の通りです。
合計71個のAnti Virusワクチンのうち、44個のワクチンが「履歴書5.exe」ファイルをウィルスで検知し、「13.107.4.52」のIPアドレスが5回関連したことを確認できます。
また、履歴書5.exe実行の際、96F1.tmpというファイルがどこかに保存され実行されることがわかり、これもやはり71個のワクチンの中で56個のワクチンが検知した結果があります。
96F1.tmpファイルに対してVirusTotalの分析も行いました。
Execution Parentsに該当するファイルが多数確認されました。
Criminal IP IT資産検索の分析
LockBit 3.0 攻撃に使われたC2サーバと推定される
IPアドレスのIPインテリジェンス結果
IP インテリジェンスの分析結果、KISA、MISPなどでBlacklist IPとして登録されているCriticalなIPアドレスと判断され、Whois情報のAS NameとOrganization NameにMicrosoft Azureの企業情報を偽称していました。
LockBit 3.0 ランサムウエア攻撃予防チェックリスト
企業のセキュリティ担当者はLockBit 3.0ランサムウェア攻撃行為の分析内容に従い、下記のチェックリストを常時にチェックする必要があります。
- LockBit 3.0 ランサムウェア悪性コードに関わったIPアドレスをセキュリティシステムのBlacklistに登録する
- 履歴書などのメールを送信された際、内容に疑わしいところがあるか確認し、疑わしいファイルが添付されている場合は閲覧しない
- 不明な出所の添付ファイル、URLリンクを開くならCriminal IPドメイン検索に検索してドメインの安全性を先に確認する
- 疑わしいファイルの場合、VirusTotalにアップロードして安全なファイルか確認する
現在、グループ内の開発者により流出されたLockBit 3.0ビルダーソースコードのため、数多くのハッカーが独自的にこのような攻撃を行う恐れがあります。企業のセキュリティ担当者はBlacklist IPを最新化すると伴い、脅威インテリジェンスを用いて受けたメールの疑わしいリンクやアクセスするドメインが悪性かどうかなどを必ず点検すべきです。関連してはDDos攻撃に対してIPインテリジェンスで対応する方法についての投稿をご参照ください。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja