LockBitの2つの類似品

ほぼこもセキュリティニュース By Terilogy Worx

現在ランサムウェア攻撃は大きな脅威となっています。
その中でも特に大きなものの一つにLockBitがあります。
彼らの活動はどんどん更新され、広い範囲で彼らの活動が認識されています。
有名なものが出てくるとそれに似たものが出てくるという傾向はランサムウェアの世界でも確認されています。

SolidBit:

  • 中身はYashmaの亜種
    マルウェアの中身そのものはLockBitの系譜ではありません。
    Yashmaの亜種とみられています。
    Yashmaと共通点が多いですがいくつかの機能が追加削除されています。
    Yashmaの元の開発者が何らかの関連を持っているかもしれません。

     

  • リークサイトが似ている
    LockBitのリークサイトのものとそっくりのStyle Sheetを使ったリークサイトを使っています。
    LockBitの色使いは赤ですが、SolidBitは緑が基調です。

CryptOn:

  • ロゴがLockBit
    CryptOnのサイトの上部にはLockBit2.0のロゴマークが表示されます。
    ですが現時点ではCryptOnとLockBitの接点は確認されていません。
    リークサイトに表示される被害者の一覧を見ても一致していません。
    悪の巨人の威を借るということでしょうか。

     

  • リークサイトのIP
    CryptOnのリークサイトは以前BlackGuardの管理パネルとして使用されていたIPと同一です。
    特定のIPが複数の犯罪者によって利用されることは一般的ではありますが、利用の空白期間の短さから考えると何らかの関係があるのかもしれません。

大きくて有名なものが出てくるとそれに似たものが出てきます。
それはランサムウェアの世界でも同じでした。
これはたぶん一部です。
他にもすでに多くの模倣者がいることでしょうし、今後も別の新たな模倣者がでてくることでしょう。
見た目をまねる、機能をまねる、手順やテクニックや戦術をまねる。
いろいろな模倣の方向性があると思います。
どのような点が弱点となるのか、どのように対処していくことが効果的なのか、そういったことを常に考えて改善していくことが必要だと感じます。

参考記事(外部リンク):Two Copycats of LockBit Ransomware: SolidBit and CryptOn
medium.com/s2wblog/two-copycats-of-lockbit-ransomware-solidbit-and-crypton-7257fb069b16