LockBit ランサムウェア、類似したファイル名で大量拡散中

ASEC 分析チームは、3回にわたって LockBit マルウェアがメールを通して拡散していることを ASEC ブログで紹介したが、その後もモニタリングを続けた結果 LockBit 2.0と LockBit 3.0ランサムウェアがファイル名のみを変更して再拡散していることを確認した。今回の拡散方式は、過去に紹介した Word ドキュメントや著作権内容になりすましたメールではなく、入社志望に関連した事項に偽装したフィッシングメールを通して拡散している。

• 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 (2022年2月)
• 著作権関連のメールに偽装した LockBit ランサムウェアの拡散 (2022年6月)
• 入社志望内容に偽装したメールで拡散している NSIS 形式の LockBit 3.0 ランサムウェア (2022年9月)
• Word ドキュメントを通じて拡散する LockBit 3.0 ランサムウェア (2022年9月)

フィッシングメールに添付された圧縮ファイルは[人名].zip 形態で存在し、その内部には追加の圧縮ファイルが存在する。追加圧縮ファイルの内部ではイメージファイルに偽装した LockBit 2.0 ランサムウェアと正常なファイルが確認できる。配布されているランサムウェアのファイル名は「(特殊文字)履歴書_221112(キレよく仕事をする姿をお見せします).exe」形態であることが確認できる。当社のインフラを通して収集、確認された LockBit2.0 ランサムウェアのファイル名は以下の通りである。

[図1] 圧縮ファイルの内部

[図2] 回答したフォルダー

EXE 実行ファイルのアイコンで表示されている V3 Zip 画面とは異なり、実際のフォルダーにはイメージファイルに偽装した形態の実行ファイルが存在する。ランサムウェアが実行されると[従来のファイル名]、lockbit のファイル名で暗号化が実行され、Restore-My-Fils.txt のランサムノートとともに感染画面が表示される。

[図3] LockBit 2.0 感染画面

LockBit3.0 ランサムウェアの配布方式も同じである。収集されたランサムウェアは「(特殊文字)履歴書_201116(経歴も記載いたしますよろしくお願いします).exe」のファイル名形態で配布される。以下は当社のインフラを通して収集された LockBit3.0 形態のマルウェアのファイル名である。

LockBit3.0 ランサムウェアは、アレアハングルファイルに偽装した形態で配布しており、大量拡散のために上記した通りファイル名を一部変更したものとみられる。

[図4] LockBit 3.0 のプロパティ

ランサムウェアが実行されると[従来のファイル名].YQ85HpV1 のファイル名で暗号化が行われる。

[図5] LockBit 3.0 感染画面

最近 LockBit ランサムウェアはバージョンの制約なしに類似した形態で大量拡散しており、またファイル名も類似したものが大量に拡散している。ユーザーはドキュメントファイル形態の拡張子を確認し、ユーザーはアプリケーションおよび V3 を最新バージョンにアップデートする必要がある。また出どころの分からないファイルの実行は特に注意しなければならない。

[ファイル検知]

• Ransomware/Win.LockBit.C5305341 (2022.11.14.02)
• Ransomware/Win.LockBit.C5307739 (2022.11.17.03)

[ビヘイビア検知]

• Ransom/MDP.Decoy.M1171

[IOC 情報]

• 48aa442a0670b65a82eee99c1ed1ac78
• b303ffe0bbddca1570940557cabdd966

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。