 |
|
| 別名 | ABCD |
|---|---|
| 活動開始時期 | 2019年 |
| プラットフォーム | Windows / macOS / Linux |
| カテゴリ | ランサムウェア |
概要
LockBitは2019年に登場したランサムウェアです。当初はABCDという名前で呼ばれていました。以降バージョンアップを重ねており、2022年6月にはLockBit 3.0(別名LockBit Black)が登場しています。攻撃の手法として、単にファイルを暗号化するだけではなく、窃取した情報を公開するとして脅迫を行うことが知られています。
LockBit のタイムライン
機能
LockBitはバージョン毎に異なる機能を持ちます。ここではLockBit3.0(2022年9月頃)の主な機能を紹介します。
ファイルの暗号化
ローカルディスクおよび共有フォルダーのファイルを暗号化します。
その際、ファイルのアイコンと拡張子を変更します。
C2サーバーとの通信
指定されたURLとHTTP通信します。
プロセスの終了
指定されたプロセスが実行されている場合、そのプロセスを終了します。
指定されたプロセスには、マルウェアの解析に使われるProcess Monitorなどが含まれています。
サービスの終了
指定されたサービスが実行されている場合、そのサービスを終了します。
指定されたサービスには、アンチウイルス製品などが含まれます。
ランサムノート(脅迫文書)の作成
暗号化されたファイルの存在するフォルダーに、txt形式のランサムノートを作成します。
ランサムノートには身代金の支払い方法について記載されています。
ランサムノート(脅迫文書)の印刷
ランサムノートをプリンターで印刷します。
デスクトップ背景の変更
デスクトップの背景を変更します。
Microsoft Defenderの無効化
Microsoft Defenderを無効化します。
ごみ箱を空にする
ごみ箱に存在するファイルを完全に削除します。
PSExecの使用
PSExecを使用して、ネットワーク上の別のコンピューターに感染を広げます。
グループポリシーの使用
Windows のグループ ポリシーを使用して、ネットワーク上の別のコンピューターに感染を広げます。
イベントログの削除
Windows イベントログを削除します。
LockBit 3.0を実行した端末のデスクトップ画面
LockBit 3.0に暗号化されたファイルのアイコン(左)とランサムノート(右)