LockBitランサムウェアの痕跡をDNSで追跡 | WhoisXML API

脅威レポート

LockBitランサムウェアの痕跡をDNSでたどる

現在活動しているランサムウェアの中で最も効果的で最も多発しているものの1つとされるLockBitは、ReliaQuestが発表した最新の2023年1~3月ランサムウェア四半期リストで首位を占めました。1

当初はSocGholishの助けを借りて配布されていた2 LockBitの運用者は、その後戦術を変更し、現在はRaaSモデルを介して脅威を拡散しています。 WhoisXML APIでは、公開されている198個のIoCのリスト3 を拡張することで、LockBitをさらに追跡しました。その結果、以下がわかりました。

  • IoCとして特定されたドメイン名が名前解決した200超のIPアドレス。そのうち20%には悪意があることが判明
  • IoCが使うIPホストの一部を共用している6,000超のドメイン名。うち16個はマルウェアホストと確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.reliaquest.com/blog/lockbit-ransomware-2023/
  • [2] https://main.whoisxmlapi.com/threat-reports/socgholish-iocs-and-artifacts-tricking-users-to-download-malware?mc=circleid
  • [3] https://otx.alienvault.com/pulse/646087013f41b1c66b008650
WhoisXML APIを無料でお試しください
はじめる