ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
脅威グループの
プロファイリング: 「LockBit」
2025.02.21

✅ レポートタイトル:脅威グループプロファイリング: LockBit


S2W脅威インテリジェンスセンター「TALON」が脅威グループプロファイリングレポートを公開しました。


本レポートは、ランサムウェア脅威グループ「Lockbit」に関するプロファイリングをご確認いただける難易度の高い脅威インテリジェンスレポートです。



✅ レポートの要約:


2019年9月からランサムウェア「ABCD」という名前で独自の活動を開始し、2019年12月末に「.lockbit」拡張子を使用しつつ「Lockbit」という名前でブランディングを始めました。


- LockBit 1.0: 2019.09 ~ 2021.06
- LockBit 2.0: 2021.06 ~ 2022.06
- LockBit 3.0: 2022.06 ~ 2024.12
- LockBit 4.0: 2024.12 ~
「LockBit」はアフィリエイト向けに RaaSを運営してランサムウェアを配布し、独自開発したスティーラーも併せてアフィリエイトパネルで提供します。
- ランサムウェア:LockBit Red、LockBit Black、LockBit Green、LockBit Linux
- スティーラー:StealBit
ランサムウェア「LockBit」が配布されたときに使用される初期侵入方法には、Phishing、Vulnerability、Watering Hole、External Remote Serviceがあります。
- フィッシング(Phishing):韓国内の著作権と履歴書を偽装したフィッシングメールによるランサムウェア「LockBit」の流布
- Vulnerability:既知の多数の1-day脆弱性を悪用してパッチを適用しないサービスに最初に侵入の試み
- Watering Hole:サイトに悪意のあるスクリプトである「SocGholish」を仕込み、追加ペイロードのダウンロードを誘導
- External Remote Service:脆弱なRDP、VPNにブルートフォーシング(Brute Forcing)技術を使用するか、Initial Access Broker(IAB)から購入した資格情報を使用して初期侵入を試みる
「LockBit」は2019年度から活動を行うグループであるだけに、複数のグループとの関連性が明らかになりました。
- ランサムウェア:BlackMatter、BlackCat、Conti
- アフィリエイト:Ghost Group, National Hazard Agency, DEV-0401, Evil Corp



📌 2022年の「Lockbit 3.0」から「Lockbit 4.0」までのアップデート間の問題


- (2024年12月19日)「Lockbit 4.0」にアップデート
- (2024年10月2日) Operation CRONOS:「Lockbit」に関連する開発者、マネーランドリー、インフラ担当者などを逮捕し、Evil Corpのメンバー18人の情報をすべて公開
- (2024年7月19日) 「Lockbit」がTelegramなど新しいチャネルの連絡先をリークサイトを通じて共有
- (2024年5月7日) 「LockBitSupp」のアイデンティティやアフィリエイトのsurnameなどを公開
- (2024年5月5日) 「Lockbit」のリークサイトの1つのドメインが再び押収
- (2024年2月22日) SophosがScreenConnectの脆弱性を悪用したケースを公開 - (2024年2月19日) Operation CRONOS:11か国の法執行機関が協力して「Lockbit」ランサムウェア勧告を公開 - (2023年11月21日CISAがBoeing攻撃に使用されるCitrix Bleedの脆弱性を使用した「Lockbit」ランサムウェア勧告の開示 - (2023年4月16日)「MalwareHunterTeam」がMacOS版の「Lockbit」ランサムウェアを発見 - (2023年1月27日) VX-Undergroundが「Conti」基盤のランサムウェア「LockBit Green」を発見
- (2022年6月26日) 「LockBit 3.0」にアップデート
その他タイムライン別の問題と「LockBit」の攻撃手法の詳細については、レポートを通じてご確認いただけます。



✅ 脅威検知の推奨事項と対策方法:


2019年9月から活動してきた「LockBit」グループは、2020年度に正式に「LockBit」とブランディングして活動を開始しました。


その後、漏洩した「LockBit Black Builder」を悪用して複数のランサムウェアグループが誕生し、「LockBit」の実際のアフェリエイトと漏洩したビルダーを使用する「Script Kiddie」を区別することが困難になりました。(漏洩したビルダーで製作されたランサムウェアを区別できるツールの必要性が台頭)


「LockBit Black」や「LockBit Green」のように他のランサムウェアソースコードを引用して独自のランサムウェアを生産していることから、以後他のランサムウェアグループのソースコードを引用して追加のランサムウェアを作る可能性が高いと判断されます。


各事例の具体的な分析及び対策方法は、下記リンクよりお問い合わせください。



🧑‍💻 レポート作成者: S2W 「TALON」 (2025年1月31日基準)


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。



脅威分析レポート
北朝鮮が支援する「KONNI」グループのマルウェア「LINKON」に関する分析レポート
2025.02.14
前へ
脅威分析概要レポート
NVIDIAに関する脆弱性レポート:CVE-2024-0132
2025.02.28
次へ
一覧