LockBit Black ランサムウェアを配布する数百万通のメッセージ

Lockbitランサムウェアを配布する大規模メール攻撃キャンペーン

2024年4月24日から約1週間にわたり、プルーフポイントではPhorpiexボットネットによってLockBit Blackランサムウェアを配信する数百万メッセージの大規模な攻撃キャンペーンを毎日観測しました。プルーフポイントのリサーチャーが、Phorpiexを介してこれほど大量に配信されるLockBit Blackランサムウェア（別名LockBit 3.0）のサンプルを観測したのは今回が初めてです。このキャンペーンのLockBit Blackサンプルは、2023年夏に流出したLockBitビルダーから構築された可能性が高いと考えられます。  

メッセージは「Jenny Green」からのもので、メールアドレスはJenny@gsd[.]comでした。メールには、実行ファイル（.exe）が添付されたZIPファイルが含まれていました。この実行ファイルは、PhorpiexボットネットインフラからLockBit Blackペイロードをダウンロードすることが確認されています。  

差出人アドレス： “Jenny Green” jenny@gsd[.]com 
メール件名： Your Document 
添付ファイル： Document.zip 

「Jenny Green」からのメッセージの例

このメールは、世界中の複数の業種の組織を標的としており、特定の標的を狙ったものではなく、ばらまき型の攻撃と考えられます。このキャンペーンの攻撃チェーンは、2024年のこれまでのサイバー犯罪の状況と比べて必ずしも複雑ではありませんでしたが、メッセージが膨大であることと、第一段階のペイロードとしてのランサムウェアを用いていることは、非常に特徴的です。  

攻撃チェーンはユーザーによる操作が必要とするもので、エンドユーザーが添付のZIPファイル内の圧縮実行ファイルを実行することで開始されます。.exeバイナリは、Phorpiexボットネットインフラストラクチャへのネットワークコールアウトを開始します。成功すると、LockBit Blackサンプルがダウンロードされ、エンドユーザーのシステム上で実行され、そこでデータ窃取動作を示し、システムを掌握してファイルを暗号化し、サービスを停止します。以前の攻撃キャンペーンでは、ランサムウェアは直接実行され、ネットワークアクティビティは観測されず、ネットワーク検知やブロックはおこなえないものでした。

LockBit Black 身代金要求ノートのサンプル
 

アトリビューション（攻撃者の紐づけ）

Proofpoint Threat Research は、このキャンペーンを既知の攻撃グループにアトリビューションしていません。Phorpiexは、大量の電子メールキャンペーンを通じてマルウェアを配信するように設計された基本的なボットネットです。Phorpiexは、Malware-as-a-Serviceとして動作し、10年以上にわたって犯罪者である顧客基盤を大規模に構築しててきました（以前のバージョンは、2011年頃に初めて脅威が観測されました）。2018年以降、このボットネットはデータ窃取とランサムウェア配信活動を実施していることが確認されています。長年にわたる破壊活動にもかかわらず、ボットネットは存続しています。  

プルーフポイントは、少なくとも2023年1月以降、「Your Document」に関連するルアーで同じ「Jenny Green」のエイリアスを使用し、電子メールキャンペーンでPhorpiexマルウェアを配信する一連の活動を観測しています。  

LockBit Black（別名LockBit 3.0）は、2022年6月にランサムウェアのアフェリエイト機能をアップグレードして正式にリリースしたLockBitランサムウェアのバージョンです。2022年9月、極秘だったランサムウェア・ビルダーがTwitter経由で流出しました。当時、複数の関係者がアトリビューションを主張していましたが、LockBit のアフェリエイトは、不満を持つ開発者がビルダーを流出させたと主張していました。この流出により、誰でもがカスタマイズされたバージョンのLockbitの設定をおこなえるようになりました。  

注意すべき点 

電子メールによる脅威キャンペーンに添付される第一段階のペイロードとしてのランサムウェアは、プルーフポイントが2020年以前から大量に観測してきたものではないため、電子メールによる脅威データにおいてLockBit Blackのサンプルがこのような世界的規模で観測されることは非常に珍しいことです。さらに、このキャンペーンは、1日あたり数百万件という、通常をはるかに超える大量のメッセージを観測していることに注意が必要です。最近観測された LockBit Black のキャンペーンのメッセージ量と周期は、Emotet のキャンペーン以来の規模になっています。

LockBit Black builderは、攻撃者に独自の高度なランサムウェアへのアクセスを提供しています。これと長年にわたるPhorpiexボットネットが組み合わさることで、このような脅威キャンペーンの規模が拡大し、ランサムウェア攻撃が成功する可能性が高まります。この攻撃キャンペーンは、脅威の状況が変化し続けていることを示すもう一つの例であり、攻撃者が使用する戦術、技術、手順（TTP）が反復的にかつ大規模にシフトしていることを伺わせます。  
 

Emerging Threat (ET) シグネチャの例

2022050     ET MALWARE Likely Evil EXE download from dotted Quad by MSXMLHTTP M1 
2022051     ET MALWARE Likely Evil EXE download from dotted Quad by MSXMLHTTP M2 
2016141     ET INFO Executable Download from dotted-quad Host 
2853272     ETPRO MALWARE Win32/Phorpiex Bot Executable Payload Inbound 
2848295     ETPRO MALWARE Win32/Phorpiex.V CnC Activity M3 

IoC (Indicators of Compromise / 侵害の指標）の例