複数ライセンス割引見積
脅威データベース ランサムウェア LockBeastランサムウェア

LockBeastランサムウェア

ランサムウェアMezoまで
翻訳内容:

ランサムウェアは、組織と個人ユーザーの両方にとって、依然として最も破壊的なサイバー脅威の一つです。一度侵入に成功すると、ビジネスクリティカルなデータがロックされ、業務が停止し、高額なインシデント対応と復旧作業が必要になる可能性があります。感染拡大前に多層防御と対応態勢を構築しておくことが、事態の収束と危機の分かれ目となります。

脅威の概要

LockBeastランサムウェアが実行されると、ユーザーデータを暗号化し、ファイル名を変更して被害者の識別子を埋め込み、「README.TXT」というタイトルの身代金要求メッセージを作成します。攻撃者は、暗号化とデータ窃取を組み合わせ、被害者に身代金を支払わせようと圧力をかけ、一定期間内に連絡が取れない場合は機密情報を漏洩すると脅迫します。

暗号化とファイル名変更のワークフロー

LockBeastは暗号化の際に、標的のファイルに被害者固有のIDと「.lockbeast」拡張子を追加します。例えば、「1.png」は「1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast」に、「2.pdf」は「2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast」になります。このパターンにより、攻撃者は個々の被害者を追跡し、復号機能を提供する前に身代金の支払いを確認することができます。この暗号化ルーチンは、ドキュメント、データベース、アーカイブ、メディア、ソースコードリポジトリなど、幅広いデータタイプを対象としています。

身代金要求書と二重恐喝戦術

「README.TXT」には、すべての重要なファイルが利用できないと明記されており、取引履歴、顧客の個人情報(PII)、クレジットカード情報、口座残高などの機密記録が攻撃者のインフラに流出すると記載されています。また、プライバシー重視のメッセンジャー(SessionとTox)経由で連絡先情報を提供し、ファイル名の変更やサードパーティ製の復号ツールの使用を控えるよう警告し、データ公開の7日前までに公開するよう求めています。これは、従来のファイル暗号化による恐喝と情報漏洩の脅迫を融合させ、圧力を高めるものです。身代金を支払っても、復号が成功し、データが完全に回復し、盗まれた情報が削除されるという保証はありません。

初期アクセスと配布ベクトル

確認されている、あるいはおそらく確認されているランサムウェアの配信方法は、一般的なランサムウェアの活動と一致しています。脅威アクターは、悪意のあるメールの添付ファイルやリンク、トロイの木馬化されたソフトウェアや海賊版ソフトウェア、キージェネレーター、ソーシャルエンジニアリングによる「サポート」詐欺、未修正の脆弱性の悪用などを通じて感染を広げます。その他の経路としては、ドライブバイランやマルバタイジングによるリダイレクト、サードパーティのダウンローダー、侵害されたウェブサイトや類似ウェブサイト、感染したリムーバブルメディア、ピアツーピアのファイル共有などが挙げられます。多くの場合、ユーザーが仕掛けられた実行ファイル、アーカイブ、Office、PDFドキュメント、またはスクリプトを開くと、ランサムウェアの実行が開始されます。

封じ込めと根絶のガイダンス

LockBeastがシステムに感染した疑いがある場合は、直ちに行動を起こしてください。感染したマシンをネットワーク(有線および無線)から隔離し、さらなる暗号化と横方向の拡散を防止してください。共有ドライブを無効化し、疑わしいアクセストークンまたはセッションを無効化してください。フォレンジック調査のために揮発性のアーティファクトとログを保存し、信頼できる最新のセキュリティソリューションまたは正常なインシデント対応環境を使用してマルウェアを除去してください。脅威が根絶されたことを確認した後、クリーンなオフラインバックアップからのみ復元してください。そうしないと、再感染によって復元されたデータが再び暗号化される可能性があります。

回復とビジネスへの影響

攻撃者のツールなしでの復号は、バックアップが存在しない限り、通常は不可能です。変更不可能なスナップショットまたはオフラインのスナップショットから、最も重要なサービスの復元を優先してください。データ流出の申し立ては、反証されるまで信頼できるものとして扱います。漏洩した可能性のあるデータを評価し、法律または契約で義務付けられている場合は通知を準備し、不正使用(例:顧客に対する詐欺)を監視します。

支払いに関する決定ポイント

それぞれのインシデントには独自の運用上および法的考慮事項がありますが、身代金の支払いは犯罪活動の資金源となり、完全なデータ復旧や情報漏洩の防止を保証するものではありません。まずは、バックアップからの復元、部分的なデータ再構築、顧客保護対策といった代替手段を検討してください。

結論

LockBeastは、強力な暗号化とデータ漏洩の脅威を組み合わせ、被害者を脅迫します。迅速な隔離、規律ある駆除、そして信頼性の高いオフラインバックアップは、復旧に不可欠です。長期的には、パッチ適用、最小権限、堅牢なメールおよびWeb管理、そして現実的なインシデント対策に投資する組織は、ランサムウェア攻撃の発生確率と影響を大幅に低減します。

メッセージ

LockBeastランサムウェア に関連する次のメッセージが見つかりました:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.

トレンド

Jackpot (MedusaLocker) ランサムウェア

ランサムウェア
ランサムウェアは、個人と組織の両方にとって、依然として最も深刻なサイバーセキュリティの脅威の一つです。機密ファイルを暗号化し、身代金を要求し、盗んだデータを漏洩させる能力を持つこれらの脅威は、壊滅的な結果をもたらす可能性があります。最近確認された特に危険なランサムウェアの一つは、悪名高いMedusaLockerランサムウェアファミリーの亜種であるJackpotです。Jackpotの仕組みを理...

Respraccipsaurs.com

アドウェア
適切な予防措置を講じずに気軽にインターネットを閲覧すると、深刻なリスクにつながる可能性があります。こうしたリスクの一つに、Respraccipsaurs.comのような悪質なウェブサイトがあります。これらのウェブサイトは、欺瞞的な手法を用いて、何も知らないユーザーを騙そうとします。このようなページの本質を理解することは、オンラインで安全を保つために不可欠です。 Respraccipsaurs...

Brobitte.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
デジタル脅威がますます巧妙になるにつれ、ユーザーはウェブ閲覧中に常に警戒を怠らず、用心深くいることが不可欠です。悪意のある行為者は、不注意なユーザーを狙った不正ウェブサイトを絶えず作成しています。その一例がBrobitte.co.inです。これは、サイバーセキュリティ研究者によって、怪しいリダイレクトスキームやブラウザ通知の悪用への関与が指摘されている、疑わしいドメインです。このようなページ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
58,354
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
44,467
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
44,234
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...