ランサムウェア
新種ランサムウェア解説:Seth-Locker、Babuk Locker、TeslaCryptなど
今回は、新たに発見されたSeth-Lockerと呼ばれるランサムウェアファミリを紹介します。次に、Babuk Locker、Maoloa、TeslaCryptの亜種の進化についても取り上げます。最後に人気のあるゲームを装うCobraLockerという亜種の出現について解説します。
ランサムウェアは絶えず進化し続けています。これは大企業を狙うランサムウェアファミリや、標的型のアプローチを採用するランサムウェアファミリだけではなく、新種のランサムウェアファミリにも言えることです。
今回は、新たに発見されたSeth-Lockerと呼ばれるランサムウェアファミリを紹介します。次に、Babuk Locker、Maoloa、TeslaCryptの亜種の進化についても取り上げます。最後に人気のあるゲームを装うCobraLockerという亜種の出現について解説します。
新種のランサムウェアSeth-Locker
トレンドマイクロはSeth-Lockerという新種のランサムウェアを発見しました。この新しいランサムウェアの興味深い特徴は、暗号化の機能に加えてバックドアの機能が仕込まれている点です。これまでに確認されたバックドアの機能は以下のようなものです。
- open_link:コマンド&コントロール(C&C)サーバからのコンテンツの読み取りに使用
- down_exec:ファイルのダウンロードと実行に使用
- shell:コマンドラインからシェルコマンドを実行
- locker:ランサムウェアのルーチンを実行
- kill:プロセスまたは自身を終了
このランサムウェアはファイルの暗号化、拡張子(.seth)への変更、身代金要求メッセージのドロップといった典型的な動作を実行します。
そのコードには初歩的なミスや見落としがいくつかあり、今なお開発途上にあると推測されます。たとえば、不正プログラムのコマンドが目につきやすく、ファイル拡張子のチェックの繰り返すコードが存在します。さらに、このランサムウェアは動作を隠蔽するという点で巧妙さに欠けています。しかし、将来的には、このランサムウェアの改良版が出現することが想定されます。
Babuk Lockerの亜種の進化
Babuk Lockerもまた新種のランサムウェアファミリであり、企業を標的とするランサムウェアとして2021年に初めて発見されました。これは、2020年12月の時点でVasa Lockerと称していたランサムウェアです。Babuk Lockerは、急速に進化する活発なランサムウェアであることが明らかになりつつあります。2021年の早い時期に、既に複数の企業がBabuk Lockerの攻撃を受けています。その手口は盗んだ情報を公開すると言って脅迫する暴露型ランサムウェアに該当します。
新しいRansomware as a Service(RaaS)であるにもかかわらず、そのオペレーションは既知の標的型ランサムウェア攻撃の手法を踏襲しています。初期アクセスには、侵害したユーザアカウント、脆弱性の悪用、またはマルウェアスパムを利用します。攻撃実行者は標的のネットワークおよび重要なファイルを横展開(ラテラルムーブメント)で調べ上げ、そのデータを二重脅迫の一環として盗み出します。そして最終的に、ランサムウェアのペイロードの展開へと進みます。さらに、盗み出したデータを自らが運営するブログまたはTorサイトに投稿します。
Babuk Lockerでは、ChaCha8ストリーム暗号方式による暗号化と楕円曲線ディフィー・ヘルマン鍵共有(ECDH)による鍵生成が利用されています。したがって、秘密鍵がなければ、ファイルを回復できる見込みは極めて薄くなります。この不正プログラムの詳細については、ジョージア工科大学のリサーチャChuong Dongのブログをご覧ください。
Babuk Lockerについて特筆すべき点は、攻撃実行者が被害者との連絡手段にTorサイトを使用していることです。トレンドマイクロが確認した最初のサンプルでは、典型的な身代金要求のメールが標的に送信されていました。一方、次に発生したランサムウェアの亜種では、標的から盗み出したデータのスクリーンショットが攻撃実行者によってTorサイトに公開されていました。このような進化を見ると、Babuk Lockerの背後にいるグループがどのように脅迫手法を攻撃的なものにしているのかが分かります。
Babuk Lockerは他の既知のランサムウェアと似たところがあります。特に、身代金要求のメッセージはDarkSideが使用していたものと酷似しています。図1はBabukの身代金メッセージ(上)とDarkSideの身代金メッセージ(下)の比較です。これは、この2つのランサムウェアファミリが相互に関連している可能性があることを暗に示しています。技術に関しても、Babuk LockerはConti、Ryuk、Ragnar Lockerといった古いランサムウェアを手本にしているものと思われます。たとえば、これらの不正プログラムと同様に、Babuk Lockerが終了させるプロセスおよびサービスは、アプリケーション、バックアップソフトウェア、エンドポイントセキュリティ、およびサーバに関連するものです。こうした既知のランサムウェアが効果的に機能していることを考えると、Babuk Lockerがその技術を手本にするのも当然のことです。
図1.Babukの身代金メッセージ(上)とDarkSideの身代金メッセージ(下)
Babuk Lockerのリークサイトには多くの手掛かりがあります。たとえば、トレンドマイクロが確認したところ、リークサイトが最近変更され「Babuk」が「Babyk」という名前に変更になっていました。また、このサイトでは、Babuk Lockerの背後にいるグループは悪意がなく、組織におけるサイバーセキュリティの問題を公開することが目的であると主張されています。
図2.ランサムウェア名の変更(「Babuk」→「Babyk」)と不正プログラムの詳細の両方が示されているリークサイト
興味深いことに、グループの関心範囲から除外されている団体についても列挙されています。
図3.リークサイトに投稿されているBabukの攻撃から除外される組織の一覧
トレンドマイクロが確認した最新のサンプルは、Babukの3つ目のバージョンでした。このバージョンの身代金メッセージは、標的となった組織を名前で直接指定していました。これまで述べてきた活動状況を踏まえると、将来的にはおそらくこの不正プログラムより高度なものが現れると予想できます。
図4.このサンプルがBabukのバージョン3のものであることを示すBabuk Lockerのコード
システムセキュリティを無効化する可能性のあるTeslaCrypt
TeslaCryptは旧型のランサムウェアファミリで、2016年に活動停止し復号鍵が2016年に公開されています。そのためTeslaCryptは消滅したランサムウェアと考えられていましたが、現在新たな亜種※が出現している模様です。現時点では十分な情報がないため、このランサムウェアが再び出現している理由は分かりません。また、トレンドマイクロはこのサンプルが単にTeslaCryptを模倣したものであるという可能性も考えています。
※ トレンドマイクロではRansom.MSIL.TESLACRYPT.THABGBAとして検出します。
この不正プログラムの特筆すべき特徴は、標的のセキュリティレベルを低下させることです。この不正プログラムはまずWindows Defenderを無効にした後で、約300件にも上るその他のサービス(デバッガやセキュリティ関連のアプリケーションなど)を停止します。この亜種の作成者が目的としているのは、被害者のシステム回復方法を制限することのようです。
1つのランサムウェアの亜種において、これほど多くのセキュリティ関連のプロセスおよびアプリケーションを終了する活動を行うのは極めて珍しいことです。
図5.ランサムウェアで終了されるセキュリティ関連のアプリケーションの一部を示すスクリーンショット
Maoloaの進化
ランサムウェアMaoloaが最初に発見されたのは2019年です。Maoloaは、2019年7月にルーマニアの病院への攻撃に使用された不正プログラムでもあります。また、従来のGlobeImposterランサムウェアにも関連しています。
トレンドマイクロが発見した新しいサンプルは、7-Zip SFXファイルにパッケージ化されています。この亜種には、certutil.exeおよびAutoitスクリプトという正規ツールも使用されていました。こうした追加の機能すべてが、以前の亜種で確認されていない検出回避の試みです。トレンドマイクロが発見した従来のMaoloaの亜種では、バイナリコードをパッケージ化せずそのまま使用していました。
※トレンドマイクロではRansom.Win32.MAOLOA.THAAHBAとして検出します。
図6.Maoloaランサムウェアがパッケージ化されているSFXファイルの実行
Maoloaランサムウェアのペイロードを保持する自己解凍形式のアーカイブが実行されると、4つのファイルがドロップされます(図6)。
この4つのファイルの中にMaoloaランサムウェアがあり、解凍後に暗号化ルーチンが開始され、身代金メッセージがドロップされます。過去の亜種と同様に、今回解析したMaoloaのサンプルが暗号化したファイルに付加する拡張子は「.Globeimposter-Alpha865qqz」であり、これは従来のGlobeImposterランサムウェアとの関連を想起させます。
図7. Maoloaランサムウェアが暗号化したファイルに付与する拡張子と
身代金メッセージ(ランサムノート)ファイルの例
Among Usに偽装したCobraLocker
最後に、トレンドマイクロの特筆すべき発見であるCobraLockerの亜種※をご紹介します。これは「Among Us」という人気のゲームに偽装してユーザをおびき寄せるランサムウェアであり、このランサムウェアで使用されるファイル名は「AmongUsHorrorEdition」です。
※トレンドマイクロではRansom.MSIL.COBRALOCKER.Bとして検出します。
図8.Among Usのあるバージョンに偽装したCobraLockerのファイル名
このランサムウェアが実行されると、ファイルの「ホラー」の側面に従ってイメージが実行され、「Do you want to play?」(プレイしますか)という文字が表示されます。次に、cmd.exe、regedit.exe、Process Hacker、および永続性を確保するためのレジストリの追加など、典型的な悪意のあるアクティビティが実行されます。
ランサムウェアからの攻撃を免れるには?
これまで説明してきたランサムウェアファミリを見ると、実行者は攻撃キャンペーンを確実に成功させるために不正プログラムに磨きをかけ続けていることが分かります。その手段として、要求に従うよう被害者に多大な圧力をかけることもあれば、検出から逃れるよう単純に悪意のあるアクティビティを隠蔽することもあります。
現在のランサムウェアは急速な変化を遂げています。法人組織がランサムウェア攻撃に対抗するには、ランサムウェアの進化の経緯や最新の傾向を理解して対策に活かす必要があります。
トレンドマイクロでは、昨今のランサムウェア攻撃動向とそれに対抗するために取るべき一般的な対策をまとめたリサーチペーパーを公開しています。最新のランサムウェア攻撃のトレンドを理解し、組織のセキュリティ対策に活かしてください。
ランサムウェアウェア最新動向 2021年版
リサーチペーパーのダウンロードはこちら
トレンドマイクロのソリューション
トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨されるものを以下に示します。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。
また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
■ 侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。
記事構成:高橋 哲朗(スレットマーケティンググループ)