新たなビジネスモデルを導入した Satan ランサムウェア

この記事を公開できるように尽力してきた SophosLabs の Dorka Palotay に感謝します。

Naked Security は先月、Satan と呼ばれるランサムウェアについ
て何件か問い合わせをいただきました。

いずれも「ソフォスでは何という名前で検出されますか?」という質問でした。

「ソフォスでは Troj/Ransom-ECZ として検出されます」とだけお答えしましたが、Satan マルウェアには詳しくお伝えすべき背景があります。

サイバー犯罪者は以前から、悪魔やオカルト、いわゆる「ダークアート」などのテーマに着想を得てマルウェアに名前を付けてきました。たとえば、Dark Avenger、Necropolis、Mydoom、Natas (Satan の逆読み)、SatanBug などがこれに該当します。

しかし、Satan ランサムウェアにはこれまでのマルウェアとは異なる特徴があります。それはビジネスモデルです。

Satan がどのようなマルウェアであるかは、次のように説明されています。

Satan ランサムウェアは、いったん Windows システムで開かれると、すべてのファイルを暗号化し、解読ツールと引き換えに身代金を要求する悪意のあるソフトウェアです。

しかし、Satan はクライムウェアを提供するオンラインサービスでもあります。

上図は、ダークウェブ上の .onion アドレス経由で Tor を使用してアクセスすることができる Satan の Web サイトの初期画面です。この画面から分かるように、Satan はクラウドサービスによって支えられています。

Satanは、iTunes や eBay など数多くの正規のオンラインサービスのビジネスモデルを模倣しています。登録は無料ですが、このサイト経由でビジネスを行った場合には所定の割合で料金を支払う必要があります。

Satan は次のようなサービスを提供するとうたっています。

  • 実際に機能するランサムウェアのサンプルを生成する。ユーザーは無料でダウンロードできる。
  • ユーザー自身が価格と支払条件を決定できる。
  • ユーザーの代わりに身代金の集金を行う。
  • 身代金を支払った被害者に復号化ツールを提供する。
  • 収益の 70% をビットコイン経由でユーザーに支払う。

この「サービス」は、SSH のように公開鍵と秘密鍵のペアを使用する 2 要素認証をオプションで提供しています。また、CAPTCHA もサポートしているので、簡単には自動一括サインアップできなくなっています (下図参照)。

ログイン後は、希望する価格帯に合わせてランサムウェアのサンプルを生成することができます。

最初の身代金の金額を BTC 0.1 (2017 年 3 月 7 日現在約 125 ドル) 以上で設定し、何日後に金額をつり上げるのかや、その時に金額を何倍にするのかを決定します (下図参照)。

サンプルが完成したら、ダウンロードして攻撃を開始できるだけでなく、攻撃に役立つ一連のサポートファイルを生成することもできます。

Satan の Web サイトで注目すべきは、XOR エンコーディングアルゴリズムを使ってサンプルを暗号化するスクリプトを Powershell と Python の両方で作成できる点です。

そのため、オンラインで公開して被害者にダウンロードさせるファイルは、すぐには Windows プログラム (EXE ファイル) とは分かりません (下図参照)。

当然ですが、いったんランサムウェアファイルを暗号化すると、それらのファイルは暗号化された形式で被害者に送信されるため、被害者にファイルやリンクを送信しても機能しません。

Satan サービスでは、デコードされたマルウェアのダウンロード、解読、および自動起動を行う HTML ページまたは Microsoft Word マクロを作成・提供することで、このステップを実行するユーザーを支援しています。

その後ユーザーは、HTML を CHM (コンパイル済みHTML) 形式に変換するか、生成された Word マクロを Word 文書に埋め込むことで、電子メールの添付ファイルとして送信して被害者に開かせるマルウェアダウンローダファイルを作成します。

感染してしまった被害者には、ユーザーが指定した身代金の支払いを要求する画面が表示されます。ただし、支払い先は詐欺師が運営するビットコインウォレットです (下図参照)。

この後ユーザーは、詐欺師が受け取った身代金の 70% を自分のビットコインアドレスに本当に送金してくれることを信じるしかありません。

対策

言うまでもありませんが、Satan サービスを利用してはいけません。

他のユーザーを感染させる目的でマルウェアを意図的に送信することは、ほとんどの司法管轄権で違法です。また、実際に感染させたり、感染後に金銭を要求したりすると、より重い罪に問われます。

Satan のユーザーになって逮捕された場合、裁判で情状酌量は期待できません。

詳細はこちら

繰り返し申し上げているように、そもそもマルウェアに感染しないことが大切です。ソフォスが発表した『How to stay protected against ransomware (ランサムウェアから身を守るには)』というガイドには役立つ情報が掲載されています。ぜひお読みください。

Techknow ポッドキャスト Dealing with Ransomware (英語) も併せてご紹介しておきます。

(オーディオプレーヤーが動作しない場合は、Soundcloud でお聞きいただくか、iTunes からアクセスしてください。)