Lilithランサムウェアによる暗号化事象に関する技術分析レポート - ランサムウェア対策ブログ

ランサムウェア情報

Lilithランサムウェアによる暗号化事象に関する技術分析レポート

調査日: 2022-09-13

セキュリティインシデント分析レポート

発行日: 2022年09月13日

Lilithランサムウェアと推定される侵害事象が確認されたため、本件に関する詳細な分析結果と注意喚起を以下の通り報告いたします。

本インシデントは、Lilithと呼称される新たなランサムウェアによるファイル暗号化攻撃に関連しています。当該マルウェアは、暗号化されたファイルに対し、一貫して「.Lilith」という拡張子を付与する特徴を有しています。

本マルウェアの実行ファイルおよび関連するメタデータについて、以下の図にて詳細を確認しました。

観測された主な動作プロセスは以下の通りです。

一時フォルダへのファイル配置（Dropping）

マルウェア本体は、システムの一時フォルダ（Temp）領域に実行ファイルをドロップし、そこから暗号化プロセスを開始・実行します。

<ファイル生成（Tempフォルダ内での活動）>
ボリュームシャドウコピーの削除（Persistence破壊）

暗号化されたファイルの容易な復元を防ぐため、システムに標準搭載されているボリュームシャドウコピー（VSS）を削除するコマンドを実行します。

<ボリュームシャドウコピーの削除活動>

暗号化処理が完了した後、被害を受けた各ディレクトリには身代金要求に関するテキストファイルが生成されます。ファイル名は一貫して Restore_Your_Files.txt です。

暗号化されたファイルは、元のファイル名に続けて <暗号化ファイル名>.lilith の形式で拡張子が変更されます。

<暗号化被害の状況1>

<暗号化被害の状況2>

本マルウェアの悪意ある挙動に対し、当社のセキュリティ製品（WhiteDefender）は、暗号化実行の直前段階、あるいは実行中にリアルタイムでこれを検知し、自動復元機能を適用したことを確認しました。

<製品によるブロックメッセージ>

<ブロックおよび復元処理のログ記録>

Lilithランサムウェアを含む標的型攻撃からシステムを保護するため、以下の対策を強く推奨いたします。

多層防御の徹底: 侵入検知・防御システム（IDS/IPS）とエンドポイントセキュリティソリューション（EDR/アンチウイルス）を組み合わせ、多層的な防御体制を構築してください。
バックアップ戦略の見直し: 3-2-1ルール（3つのコピー、2種類のメディア、1つはオフサイト）を遵守し、特にネットワークから隔離された（オフラインまたはイミュータブルな）バックアップを定期的に取得してください。
定期的なパッチ適用: 既知の脆弱性を悪用されることを防ぐため、OSおよびソフトウェアのセキュリティパッチを迅速に適用してください。
振る舞い検知の活用: ファイルの暗号化やVSS削除といった不審なシステム操作を検知できる、振る舞いベースの防御メカニズム（例：EDR）を有効化してください。