ランサムウェア
ランサムウェア「Nokoyawa」と「Hive」の顕著な類似点を解説
2021年に出現したランサムウェアファミリの中でも特に注目に値する「Hive」は、わずか4ヶ月間で300社以上の法人組織を侵害したと報告されており、同年下半期に波紋を広げました。これによりHiveの背後にいる攻撃者グループは、数百万米ドル(数億円)の利益を得た可能性があります。
2021年に出現したランサムウェアファミリの中でも特に注目に値する「Hive」は、わずか4ヶ月間で300社以上の法人組織を侵害したと報告されており、同年下半期に波紋を広げました。これによりHiveの背後にいる攻撃者グループは、数百万米ドル(数億円)の利益を得た可能性があります。トレンドマイクロはその後、2022年3月にほとんど未知のランサムウェア「Nokoyawa」の攻撃手法が、Hiveと多くの共通点を持つことを発見しました。この2つのファミリは、使用するツールから様々な段階での実行順序に至るまで、攻撃チェーンにおける明らかな類似点を共有しています。現在Nokoyawaは南米の、主にアルゼンチンに拠点を置く組織を標的にしていると考えられます。
■ 攻撃チェーンにおける類似点と相違点
トレンドマイクロが観測したNokoyawaとHiveに共通するいくつかの指標には、以下のものが含まれています。
・攻撃チェーンにおける到達段階の一部として商用のペネトレーション・テストツール「Cobalt Strike」を悪用している点
・防御回避のために「GMER」(ルートキットを検出して削除するツール)や「PC Hunter」(システムプロセス、カーネルモード、フックへのアクセスを許可するツール)などの正規ツールを悪用している点
・情報収集や内部活動(横展開)など、他の段階でも類似性が見つかっている点
ランサムウェア「Hive」のオペレータは、侵害対象のシステム環境に応じてNirSoft社製ツールや暗号資産採掘ツール(コインマイナー)「MalXMR」などを使いわけることで、自身の攻撃能力を高めていることが知られています。トレンドマイクロの分析では、Nokoyawaもまた、侵害対象のシステム環境に応じて「Mimikatz」、「Z0Miner」、「Boxter」などのツールを用いることが明らかとなりました。
さらにトレンドマイクロは、Nokoyawaが使用するIPアドレスの1つから、2つのランサムウェアファミリが同じインフラを共有している証拠を発見しました。
侵害されたシステムにNokoyawaがどのように配信されるかは定かではありませんが、Hiveとの類似性を考慮すると、フィッシングメールなどの手法を用いて到達している可能性が高いと考えられます。
| 使用ツール | ランサムウェア「Hive」 | ランサムウェア「Nokoyawa」 |
| Cobalt Strike(初期侵入以降) | 関連性あり | 関連性あり |
| Coroxyマルウェア(PowerShellコマンドおよびスクリプトの展開) | トレンドマイクロは関連性を確認していませんが、他のリサーチャは、CoroxyマルウェアがHiveランサムウェアに関連していると指摘しています | 関連性あり |
| GMER(防御回避) | 関連性あり | 関連性あり |
| PC Hunter(情報収集および防御回避) | 関連性あり | 関連性あり |
| PowerShellスクリプト(情報収集) | 関連性あり | 関連性あり |
| PsExec(ランサムウェアの展開) | 関連性あり | 関連性あり |
| 最終ペイロードであるランサムウェアのファイル名(xxx.exe) | 関連性あり | 関連性あり |
個別に各攻撃段階をとりあげる場合には、類似性はそれほど明白ではないかもしれません。例えばCobalt Strikeは、HiveとYokoyawaに限らずほかのランサムウェアグループも悪用している非常に人気の高いポストエクスプロイト(システム侵入後に用いられるツール)です。しかし、表1に示したように全体像を考慮すると、この2つのランサムウェアファミリのつながりが明らかになるようです。
これらの類似点があるとはいえ、この2つのランサムウェアファミリには依然としていくつかの相違点があります。例えば、トレンドマイクロが観測したHiveランサムウェアの亜種の多くはUPX(ultimate packer for executables)を使ってパックされていましたが、トレンドマイクロが分析したNokoyawaの検体(バイナリ)にはパッカが使用されておらず、ファイルから文字列がむき出しになっており、分析しやすい状態となっていました。
二つ目の違いは、コンパイラにあります。HiveのバイナリはGo言語で書かれたスクリプトを変換(コンパイル)したものですが、Nokoyawaのバイナリは別の言語で書かれたスクリプトを変換したもので、逆アセンブルや分析を容易にしている点で異なります。
三つ目の違いは、暗号化活動にあります。HiveはRTLGenRandom APIに基づいて暗号化処理に使用するランダムな鍵を生成します。生成された鍵はまずメモリ内に保存された後、カスタム暗号化実装とみられる方法を用いてファイルを暗号化するために使用されます。その後この鍵はGo言語で実装されているRSAを使って暗号化されます。これは、バイナリ内に埋め込まれた公開鍵のリストと暗号化されたドライブ上に保存された <ランダム>.key.<拡張子> を用いて実行されます。最後に、生成された鍵はメモリから消去されるため、暗号化された鍵が復号に使用できる唯一のコピーとなります。
一方、Nokoyawaランサムウェアは、BCryptGenRandom APIを使って、暗号化処理に使用するランダムな鍵を生成します。それぞれの値は、ファイルごとに作成されます。Nokoyawaは、すべてのファイルに対して生成されるハードコードされたnonce(1度だけ利用される数値)「lvcelcve」/ Salsaを使ってファイルを暗号化します。次に、ECDH鍵のペアを使って鍵を暗号化します。
これらの収集された情報は、Hiveランサムウェアのオペレータが新たにランサムウェアをサービス化(Ransomware as a service、RaaS)するために、別のランサムウェアファミリを扱い始めた可能性を示唆しています。また、Hiveグループが以前と同じ感染チェーンを使用している可能性もありますが、異なるランサムウェアのペイロードが採用されています。
注意点として、トレンドマイクロはNokoyawaが「二重脅迫の手口」を用いた証拠を発見していません。「二重脅迫の手口」とは、ランサムウェア攻撃により標的組織が所有するファイルを窃取・暗号化した後、リークサイト上で重要情報を暴露すると脅して身代金を支払わせようと試みる手口のことです。これは、攻撃活動に二重脅迫の手口が組み込まれているHiveとは異なります。
■ ランサムウェアの被害に遭わないためには
今日のランサムウェアは、組織の重要情報を侵害するだけでなく漏えいさせる可能性もあるため、最も破壊力を備えたマルウェアタイプの1つと言えます。以下のセキュリティに関する推奨事項は、比較的少ないコストでセキュリティ実装を最大化するために役立ちます。・多要素認証を有効にすることで、攻撃者が侵入プロセスの一環としてユーザアカウントを侵害しようと試みる取り組みの一部を阻止することができます。
・ユーザは、適切な検証を施されていない電子メールに警戒する必要があります。ランサムウェアのインストールプロセスが開始する可能性があるため、適切な予防措置や検証がなされていない不審なメールに埋め込まれたURLリンクをクリックしない / 添付されたファイルを開かない心がけが必要です。日頃からリンクをクリックする前に対象のURLにカーソルを合わせて、想定されるWebサイト以外のアドレスが表示されないかどうかを確認するようにしましょう。URLリンクをクリックする前にWebサイトの安全性を確認したい場合は、弊社の「Site Safety Center」をご利用いただくことも有効な手段です。
・3-2-1ルールに従ってデータのバックアップを行う必要があります。少なくとも、データ暗号化に対してはバックアップによる復旧が有効です。3-2-1ルールは、まず3つ以上のバックアップ用コピーを作成し保存します。そして、2つの異なる種類のメディアに保存します(例:ハードディスクとUSBメモリ)。そのうちの1つは、他の2つとは異なる場所に保存します(例:オフィスとデータセンタ)。ただし、ネットワーク経由で全てのバックアップが暗号化されてしまうことを防ぐため、これらは同一のネットワーク内で管理してはいけません。
・すべてのオペレーティングシステム、アプリケーション、および関連するすべてのソフトウェアにパッチを適用するために定期的に更新し、最新の状態を維持すること。また、パッチの適用に時間がかかる場合は、仮想パッチを活用することで、ランサムウェアの感染につながる脆弱性悪用攻撃の成功確率を低くすることができます。
・不正ファイルおよびその他の指標の自動検出や、組織のIT環境において攻撃ツールと化してしまった正規ソフトウェアの存在を常時監視する機能を組み合わせて、エンドポイントやクラウド、ネットワークなどにまたがった多層的なセキュリティ設定を講じることで、ランサムウェア攻撃から組織をより安全に保護することができます。
■ トレンドマイクロのソリューション
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらをご参照ください。
参考記事:
- 「New Nokoyawa Ransomware Possibly Related to Hive」
By Don Ovid Ladores, Ian Kenefick, Earle Maui Earnshaw
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)