編集部からのお知らせ
新着記事まとめPDF「IBM分社のキンドリル」
ZDNet Summit 2021開催のご案内

ランサムウェア「LockBit 2.0」の脅威拡大、VPNからの侵入も

ZDNet Japan Staff

2021-08-26 12:57

 トレンドマイクロは、日本や海外でランサムウェア「LockBit 2.0」による脅威が拡大する恐れがあるとして注意を呼び掛けた。データの不正な暗号化と暴露の手口により、企業や組織に多額の身代金の支払いを要求する。

ランサムウェア「LockBit 2.0」の脅迫画面
ランサムウェア「LockBit 2.0」の脅迫画面

 同社によると、LockBit 2.0は、ロシア語のアンダーグラウンドフォーラムで確認されているサイバー犯罪者グループが展開していると見られる。このグループは、ランサムウェアを使ったサイバー犯罪をサービスとして提供しており、6月の更新でLockBit 2.0を導入したとされる。旧バージョンのLockBitによる手口は、犯罪者グループがデータを窃取、暗号化して、被害者が身代金を支払わない場合にデータを暴露するものだったが、LockBit 2.0では、特定の動作に他の暴露型ランサムウェアの特徴を取り入れた様子がうかがえるという。

 トレンドマイクロは、7月1日~8月15日にチリとイタリア、台湾、英国などで関連攻撃の試みを検知したという。国内ではNHKが24日、建設コンサルタント会社のオリエンタルコンサルタンツが被害(PDF)を受けた攻撃に、LockBit 2.0が関係した可能性を報じた。

 これまでの分析でLockBit 2.0は、侵入先のシステムからネットワークスキャナーを使ってネットワークの構造を確認し、拡散などに悪用するドメインコントローラーを標的にする。さらに、Process Hackerなどのツールを使ってシステム内で動作するプロセスやサービスを終了させる。Active Directoryのグループポリシーを悪用して、組織内のWindowsドメイン全体の端末を自動的に高速で暗号化する。さらに攻撃者がリモートデスクトッププロトコル(RDP)アカウントを悪用して、被害システムを遠隔操作することも可能とし、VPNなどのネットワークシステムの脆弱性を突いた攻撃事例も確認されているという。

ランサムウェア「LockBit 2.0」の攻撃の流れ(トレンドマイクロより)
ランサムウェア「LockBit 2.0」の攻撃の流れ(トレンドマイクロより)

 トレンドマイクロは、組織が保有するシステムや端末、ネットワークなどのIT資産と利用状況を把握して異常を検知することや、システムの利用や管理などのための権限を最小にして使用状況を監視すること、システムなどを最新の状態に維持して脆弱性をできる限り解消しておくこと、データバックアップなどの復旧策を準備しておくといった広範な対策を実行する必要があるとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]