LockBit 3.0 ランサムウェア分析レポートがリリースされました

今年3月24日から4月第1週までの3週間、ベトナムのサイバースペースでは、金融、証券、エネルギー、通信などの重要な分野で事業を展開するベトナムの大手企業に対するランサムウェアによる標的型攻撃が相次いで発生しました。これらの攻撃により、企業のシステムは一定期間停止し、サイバー犯罪者グループの標的となったシステムを持つ組織に多大な経済的損害と評判の損害を与えました。

ベトナムの企業の情報システムを最近攻撃した攻撃者の原因とグループを分析・調査する過程で、当局は、これらの事件がLockBit、BlackCat、Malloxなど、さまざまな攻撃グループの「産物」であることを発見しました。特に、3月24日午前10時にVNDIRECTシステムに対してランサムウェア攻撃が行われ、ベトナム株式市場上位3社のすべてのデータが暗号化された事件では、当局はLockBit 3.0マルウェアを持つLockBitグループがこの事件の背後にいることを突き止めました。

W-攻撃データマルウェア-0-1-1.jpg
国家サイバーセキュリティセンター、A05部(公安省)は、2024年3月のVNDIRECT証券会社システムへの攻撃がLockBit 3.0によって実行されたことを確認しました。

LockBit グループは世界中で、大企業や組織を標的としたランサムウェア攻撃を数多く実行してきました。たとえば、2023年の6月と10月に、この悪名高いランサムウェアグループは、半導体製造会社TSMC(台湾、中国)と情報技術製品およびサービス会社CDWを攻撃し、Lockbitグループが企業に要求したデータ身代金は最大7,000万~8,000万米ドルでした。

ベトナムの政府機関、組織、企業が、一般的なランサムウェア攻撃やLockBitグループによる攻撃の危険度とリスクの予防方法および最小限に抑える方法をより深く理解できるよう支援するため、情報セキュリティ局(情報通信省)傘下の国家サイバーセキュリティ監視センター(NCSC)は、サイバースペースに関する情報源を統合し、「ランサムウェアLockBit 3.0の分析レポート」を発表しました。

世界で最も危険なランサムウェアグループ

NCSC が実施した新しいレポートは、LockBit ランサムウェア攻撃グループに関する情報など、4 つの主要な内容を提供することに重点を置いています。 LockBit クラスターはアクティブです。 LockBit 3.0 に関連するサイバー攻撃の兆候のリストが記載されています。ランサムウェア攻撃によるリスクを防止し、最小限に抑える方法。

NCSCの報告書は、LockBitを世界で最も危険なランサムウェアグループの1つと指定し、2019年に初めて登場して以来、LockBitはさまざまな分野の企業や組織を標的とした多数の攻撃を実行してきたとも述べています。このグループは「Ransomware-as-a-Service(RaaS)」モデルで活動しており、脅威アクターがランサムウェアを展開して、サービスの背後にいる人々と利益を分け合うことを可能にしている。

ランサムウェア ロックビット.jpg
専門家によると、LockBit は世界で最も危険なランサムウェア グループの 1 つです。イラスト: Bkav

特に、2022年9月には、このランサムウェアの開発に使用できる可能性のあるいくつかの名前を含むLockBit 3.0のソースコードが、「ali_qushji」という個人によってXプラットフォーム(旧Twitter)上で漏洩されました。この漏洩により、専門家は LockBit 3.0 ランサムウェアのサンプルをさらに分析できるようになりましたが、それ以来、脅威アクターは LockBit 3.0 のソースコードに基づいて、一連の新しいランサムウェアの亜種を作成しています。

NCSC レポートでは、TronBit、CriptomanGizmo、Tina Turnet などのアクティブな LockBit ランサムウェア クラスターの攻撃手法を分析するとともに、記録されている LockBit 3.0 に関連するサイバー攻撃の兆候のリストも機関に提供しています。 「国家サイバースペースポータルのalert.khonggianmang.vnページでIOC指標情報を継続的に更新します」とNCSCの専門家は述べた。

「LockBit 3.0 ランサムウェア分析レポート」で特に重要な部分は、ランサムウェア攻撃によるリスクを防止し、最小限に抑える方法について機関、組織、企業をガイドするコンテンツです。ベトナムの情報セキュリティ局は4月6日に発表した「ランサムウェア攻撃のリスクを防止し、最小限に抑えるための対策ハンドブック」の中で、ベトナムの支援部隊がランサムウェア攻撃を防止し、対応するための重要な注意事項を記載しており、NCSCの専門家によって引き続き実施が推奨されている。

W-ランサムウェア対策攻撃-1.jpg
早期のシステム侵入を検出するための継続的な監視は、情報セキュリティ部門が組織にランサムウェア攻撃を防ぐために実装することを推奨する 9 つの対策の 1 つです。イラスト: カーン・リン

専門家によると、今日のランサムウェア攻撃は、機関や組織のセキュリティ上の弱点から始まることが多いそうです。攻撃者はシステムに侵入し、存在を維持し、攻撃範囲を拡大し、組織の IT インフラストラクチャを制御し、システムを麻痺させて、暗号化されたデータを回復したい場合に実際の被害者組織に身代金を支払わせることを目的としています。

5日前にVNDIRECTシステムへの攻撃が発生した際、情報セキュリティ局の代表者は、事件対応支援活動の調整に参加している部隊の観点から、 VietNamNetの記者に次のようにコメントした。「この事件は、ベトナムの組織や企業のネットワークの安全性とセキュリティに対する意識を高めるための重要な教訓です。」

したがって、特に金融、銀行、証券、エネルギー、通信などの重要な分野で活動している機関、組織、企業は、緊急かつ積極的に既存のセキュリティシステムと専門人員の両方を見直し、強化するとともに、インシデント対応計画を策定する必要があります。

「組織は、発行された情報セキュリティとネットワークセキュリティに関する規制、要件、ガイドラインを厳密に遵守する必要があります。 「潜在的なサイバー攻撃から自らと顧客を守るのは、各組織や企業の責任だ」と情報セキュリティ局の代表者は強調した。

LockBit ランサムウェアは、暗号化されたファイル拡張子にちなんで当初は ABCD として知られていましたが、数か月後に ABCD の亜種が現在の Lockbit という名前で登場しました。 1 年後、このグループはアップグレード版の LockBit 2.0 (LockBit Red とも呼ばれる) をリリースしましたが、これには機密データを盗むことを目的とした StealBit と呼ばれる別の統合マルウェアが含まれていました。 LockBit 3.0(LockBit Black とも呼ばれる)は最新バージョンで、新しい機能と強化されたセキュリティ回避技術を備え、2022 年にリリースされる予定です。
PVOIL システムはなぜランサムウェア攻撃後すぐに回復できるのでしょうか?

PVOIL システムはなぜランサムウェア攻撃後すぐに回復できるのでしょうか?

それほど大きくないシステムサイズに加えて、PVOIL がわずか数日でランサムウェア攻撃を迅速に修復し、操作を復元できた重要な要素は、バックアップ データでした。
ランサムウェア攻撃に対する防御力を高めるセキュリティ文化の形成

ランサムウェア攻撃に対する防御力を高めるセキュリティ文化の形成

CDNetworks Vietnamによると、従業員のトレーニングに投資し、セキュリティ文化を形成し、人事とセキュリティチームの協力を促進することで、企業はランサムウェア攻撃を含むサイバー攻撃に対する防御を強化できるという。
データと引き換えに身代金を支払うことは、ハッカーによるランサムウェア攻撃の増加を助長することになる

データと引き換えに身代金を支払うことは、ハッカーによるランサムウェア攻撃の増加を助長することになる

専門家は、ランサムウェアの攻撃を受けた組織はハッカーに身代金を支払うべきではないことに同意しています。これは、ハッカーが他のターゲットを攻撃したり、他のハッカー グループが自分のユニットのシステムを攻撃し続けるように促すことになるからです。