ランサムウェアグループLockBitが攻撃範囲を拡大、macOSも標的に

株式会社カスペルスキー

[本リリースは、2023年6月22日にKasperskyが発表したプレスリリースに基づき作成したものです]

 --【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※1はこのたび、世界有数の悪名高いランサムウェア攻撃グループである「LockBit」が、macOSやFreeBSD向けなどマルチプラットフォーム機能を強化していることを発見しました。LockBitは容赦なく世界の企業を標的として攻撃し、金銭面とマネジメント面に壊滅的な打撃を与えることで有名になりました。GReATでは、LockBitが今後、その攻撃範囲を拡大し、活動の影響の最大化を図っているとみています。
--------------


サイバーセキュリティコミュニティでは、LockBitが「BlackMatter」や「DarkSide」といった悪名高いほかのランサムウェアグループのコードを採用していることを確認しています。この戦略的な動向は、サービスとして提供されるランサムウェアを利用する潜在的なアフィリエイトの運用を合理化するだけでなく、LockBitが使用する攻撃領域の範囲を広げることにもなります。当社の脅威インテリジェンスソリューション「Kaspersky Threat Attribution Engine※2」による最近の分析結果では、LockBitが、現在は存在しないランサムウェアグループ「Conti」が使用していたコードの約25%を取り入れ、「LockBit Green」という新たな亜種を作成した事実が判明しています。
https://securelist.com/new-ransomware-trends-in-2023/109660/

今回の画期的な発見として、GReATのリサーチャーは、Mac用Apple M1、ARM v6、ARM v7、FreeBSDほか複数のアーキテクチャ向けに作られたLockBitのサンプルが含まれるZipファイルを見つけました。「Kaspersky Threat Attribution Engine」を用いた詳細な解析と調査により、これらのサンプルは、以前に観測されたLockBitのLinux/ESXiバージョンに由来することが確認されました。

図:発見した複数のアーキテクチャ向けマルウェアサンプルと、LockBitのLinux/ESXi コードとの類似度を Kaspersky Threat Attribution Engineで分析した結果

macOS向け亜種のように、一部のサンプルでは追加の設定が必要なほか、適切な署名のないサンプルもありましたが、LockBitがさまざまなプラットフォームで積極的にランサムウェアをテストしていることは明白であり、これらのマルウェアを利用して間もなく攻撃を拡大しようとしていることを示しています。企業にとって、これまであまり被害報告のなかったOS環境も含め全てのプラットフォームに堅固なサイバーセキュリティ対策を講じる必要が差し迫っていること、また、認識を高める必要があることを明確に示しています。

Kaspersky GReATのシニアセキュリティリサーチャー マーク・リベロ(Marc Rivero)は次のように述べています。「LockBitは継続的にインフラを強化し、ほかのグループのコードを取り込むことで、さまざまな業界の組織を、進化する多大な脅威にさらしています。LockBitやほかのランサムウェアグループがもたらすリスクを低減するために、企業はサイバーセキュリティ対策をアップデートし、従業員を教育し、インシデント時の対応手順を確立することが急務となります」

■ LockBitの攻撃ツールの拡大について詳細は、Securelistブログ(英語)「LockBit Green and phishing that targets organizations」でご覧いただけます。
https://securelist.com/crimeware-report-lockbit-switchsymb/110068/

■ ランサムウェアによる感染からご自身と企業を守るために、以下の対策をお勧めします。
・攻撃者が脆弱性(ぜいじゃくせい)を突いて企業ネットワークに侵入するのを防ぐため、使用する全端末のソフトウェアを常に最新の状態に保つ
・企業ネットワークに侵入した後の横展開やインターネットへのデータ流出の検知に重点を置いた防御対策を立てる。サイバー犯罪者による企業ネットワークへの接続を検知するために、外部ネットワークへの送信トラフィックに特別な注意を払う
・オフラインバックアップを行い、緊急時に必要になった場合には、すぐにアクセスできるようにしておく
・APT(持続的標的型)攻撃対策およびEDRソリューションを導入し、高度な脅威の発見と検知、調査、適切なタイミングでのインシデントの修復などの機能を利用できるようにする。また、定期的なセキュリティ専門のトレーニングでスキルの向上を図る。これらは全てKaspersky Expert Securityのフレームワークで提供しています
https://www.kaspersky.co.jp/enterprise-security
・SOCチームが最新の脅威インテリジェンスを利用できるようにする。Kaspersky Threat Intelligence Portalは、当社が提供する脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供します
https://www.kaspersky.co.jp/enterprise-security/threat-intelligence

※1 グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2 Kaspersky Threat Attribution Engineは、当社の持つセキュリティ業界最大級のマルウェアデータベース情報とマルウェアのコードを独自の手法で自動的に照合し、コードの類似度に基づいて特定のAPTグループまたは攻撃活動との関連付けを表示します。
https://www.kaspersky.co.jp/enterprise-security/cyber-attack-attribution-tool
企業や組織のセキュリティオペレーションセンター(SOC)のアナリストやインシデント対応者が、発見したマルウェアサンプルを既知のAPTグループと迅速に結び付けることに役立ちます。

■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
 


 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


ダウンロード
プレスリリース素材

このプレスリリース内で使われている画像ファイルがダウンロードできます

会社概要

株式会社カスペルスキー

11フォロワー

RSS
URL
https://www.kaspersky.co.jp/
業種
情報通信
本社所在地
東京都千代田区外神田3-12-8 住友不動産秋葉原ビル 7F
電話番号
03-3526-8520
代表者名
小林岳夫
上場
未上場
資本金
-
設立
2004年02月