SamSam 以降も標的型ランサムウェアが進化を続けていることを示す新しいランサムウェア Ryuk

Ryuk

本記事のための調査に尽力された SophosLabs の Hajnalka Kope に感謝します。

先月、FBI が 悪名高い SamSam ランサムウェア攻撃を首謀したと考えられる 2 人の人物を特定したという報道がありました。

SamSam が悪名高い理由は、病院などの脆弱な標的から身代金 (ランサム) を強奪し、2018 年初頭にはアトランタ市に対する攻撃により甚大な被害をもたらしているからです。

他の標的型攻撃と同様に、SamSamは、攻撃者が RDP ポートを適切に保護していない脆弱なネットワークに侵入した後、手動で展開されます。SamSam を利用する犯罪者は、系統的かつ忍耐強い攻撃によって、巨額の身代金を手にしており、2015 年 12 月から約 7 百万ドルを稼いでいました。

ご推察のとおり、FBI が容疑者を起訴してからは、SamSam の活動は鎮静化しています。容疑者がイラン人であるため、FBI の管轄外ではありますが、容疑者が特定されたことで SamSam 攻撃に影響が及んでおり、少なくとも当面は攻撃活動が停止しています。

SamSam 攻撃の詳細が白日の下に晒された後に、その収益は明らかに減少しています。8 月にソフォスが詳細な調査研究を発表した後、攻撃の頻度は増加しましたが、SamSam の毎月の収入は減少し始めました。

今、SamSam の攻撃は幕を閉じたように思われますが、SamSam が実証した秘密裏に実行され甚大な被害をもたらすこのような攻撃は、SamSam が最初でもなければ、最後でもありません。SamSam の方が有名かもしれませんが、実際は Dharma や BitPaymerのような別のタイプの標的型ランサムウェアがさらに広く拡散しており、より高額な身代金を要求しています。

標的型ランサムウェアの脅威は衰えているどころか、進化し続けています。2018 年 8 月、SamSam の影響力が低下し始めたのと同じ時期に、新たな標的型ランサムウェアが登場しました。

Ryuk

Ryuk (死神リューク) は、漫画『DEATH NOTE (デスノート)』のキャラクターにちなんで命名されました。これは進化したランラムウェアであり、過去の標的型マルウェアに学んで多くを模倣しています。

あらゆる種類の標的型ランサムウェアは、残念ながら効果を上げている特定の攻撃方法を採用するようになっており、Ryuk もその方法を採用しています。

攻撃者は、次のような操作を行っています。

  1. 脆弱な RDP(リモートデスクトッププロトコル)のパスワードを攻撃して、攻撃対象のネットワークに侵入します。
  2. 管理者権限を取得するまで権限を昇格します。
  3. 管理者権限を悪用して、セキュリティソフトウェアによって攻撃が検知されないようにします。
  4. ユーザーのファイルを暗号化する前に、可能な限りランサムウェアを拡散させます。
  5. ファイルを復号する場合には、身代金を要求するメモを残します。
  6. 被害を受けたユーザーが電子メールで連絡を取るのを待ちます。

標的型ランサムウェアを使用するハッカーは、管理者権限を取得するために多大な労力を払っています。これは、管理者権限を取得すれば、1 万ドルから 10 万ドル規模の身代金を支払う以外の選択肢をユーザーに与えないことができるためです。

Ryuk を操っているサイバー犯罪者は、ランサムウェアを悪用する犯罪者と同じように、このような高額な身代金を支払う能力がある標的を探し求めており、日用品、製造などの市場や、いくつかの報告によると医療関連機関も標的になっています。

Ryuk は、実行時にペイロードをドロップして実行してから、自身を削除して追跡できないようにします。このペイロードは、NT AUTHORITY によって実行されるプロセスに自身を注入して隠れ、csrss.exeexplorer.exe、および lsass.exe を回避します。

このマルウェアは、被害を最大化するため、ファイルの暗号化を開始する前に、セキュリティソフトウェアに関連する多くのプロセスやサービスのシャットダウンを試みます。

Ryuk の暗号化方法は、Hermes と呼ばれる古いランサムウェアの一部で見られるコードをベースにしているようです。Hermes は、北朝鮮のハッキング組織である Lazarus が作成したと考えられています。

SophosLabs の調査によると、両方のランサムウェアファミリは、類似する暗号化ロジックを使用しています。暗号化されたファイルには同じファイルマーカーを使用しており、暗号化しないディレクトリを決定するときには同じ許可リストを使用し、window.bat という名前のバッチスクリプトファイルを作成しています。

そして、Hermes と同じように、Ryuk はコンピュータのファイルを暗号化し終えると、シャドウコピーを削除し、攻撃前のある時点にファイルを復元できないようにします。

Ryuk が Hermes から継承したもう 1 つの遺産は、HERMES という文字列を暗号化したファイルに書き込み、暗号化されているファイルを識別できるようにしていることです。

HERMES

Chrome、Mozilla、Windows などの名前のディレクトリや、.dll.lnk.hrmlog.ini または .exe などの拡張子のファイルは暗号化しておらず、マルウェアによって Web ブラウザやオペレーティングシステムのコンポーネントが変更されることはありません。被害を受けたユーザーには、身代金を支払うためのメモを読んで、仮想通貨を購入し、身代金を支払う機能を実行できるようにしています。

身代金メモは、攻撃を受けたネットワーク全体にショートバージョンとロングバージョンの両方で保存されます。ショートバージョンは、BitPaymer ランサムウェアが保存する身代金のメモと非常に似ています。

Ryuk の身代金メモ (ショートバージョン)(原文抄訳)

お使いのネットワークは侵入されています。

ネットワークの各ホストにあるすべてのファイルは、強力なアルゴリズムによって暗号化されています。

バックアップは暗号化されているか削除されています。また、バックアップディスクはフォーマットされています。
シャドウコピーも削除されていますので、F8 やその他の方法を試みると、暗号化されたデータが破損する可能性があり、修復はできません。

この状況を復号できるソフトウェアを持っているのは私たちだけです。
市場にある復号ソフトウェアでは解決できません。

リセットやシャットダウンしないでください - ファイルが破損する恐れがあります。
暗号化されたファイルや readme ファイルの名前を変更したり移動しないでください。
readme ファイルを削除しないでください。
これらの操作によって、特定のファイルを復元できなくなる場合があります。
 
情報を入手するには (ファイルを復号化するには)、以下にお問い合わせください
████████@protonmail.com 
または
████████@tutanota.com

BTC ウォレット:
████████████████████████████████

Ryuk 

BitPaymer の身代金メモ

お使いのネットワークは侵入されています。

ネットワークの各ホストにあるすべてのファイルは、強力なアルゴリズムによって暗号化されています。

バックアップは暗号化されているか削除されています。また、バックアップディスクはフォーマットされています。

この状況を復号できるソフトウェアを持っているのは私たちだけです。

リセットやシャットダウンしないでください - ファイルが破損する恐れがあります。
暗号化されたファイルや readme ファイルの名前を変更したり移動しないでください。
readme ファイルを削除しないでください。
これらの操作によって、特定のファイルを復元できなくなる場合があります。

情報を入手するには (支払ってファイルを復号化するには)以下にお問い合わせください
████████@protonmail.com
または
████████@tutanota.com 

BTC ウォレット:
████████████████████████████████

本当に復号できることを確認できます。
適当に 2 つの異なるファイルを送っていただければ、復号化します。
ネットワークにある別のコンピュータのファイルでも構いません。これで、すべてのファイルを復号できることを確認できるはずです。
ファイルには .locked と .readme_txt という拡張子がそれぞれ含まれている必要があります。
2 ファイルは無料でロックを解除します。

キー:AQIAAAFoAAAApAAApiQdDD0QxLNwn]Vc26GOQ1RI/n8SwuHzWbXD]Ym3+TnvL69poNWPnnZVBNdo
ProXalFT4B0HvYRdf7T+UPqhISUdsqzsVMZhblWz57z7R5LkHAN]s3VY3wg63BIrl9UVCHOlAjcj
zIPm6B3uTFSNo2pe0OwYcir7yXz5qjMImVQw= 

Ryukは 15 から 50 のビットコイン (5 万ドルから 17 万ドル) の身代金を要求し、被害者が支払わないと毎日 0.5 ビットコイン分身代金が上昇します。

アドレスを知っていれば、誰でも見ることができるダークウェブのサイトを使って身代金をやりとりしていた SamSam とは異なり、Ryuk の各攻撃では一意の電子メールアドレスと ビットコイン ID を利用しています。これによって交渉と支払いを追跡するのが困難になり、Ryuk は 8 月の 2 週間で 60 万ドル以上を稼いだことがわかっています。

ビットコインの支払いは一般に公開されるため、金銭の流れを追跡しにくくするために、Ryuk の身代金は新しいビットコインアドレスに繰り返し分割されます。分割後には、それぞれ、アドレスの金額が 25% と 75% に分割され、アドレスの資金がごく少量になるまでそれぞれの分割部分が新しいアドレスに預けられます。

対策

標的型ランサムウェアを悪用するさまざまな集団が採用する手法は類似し、収束していきます。リスクと報酬のバランスが最も良いので、同じような攻撃を実行することになります。

攻撃が均質になることで、防御側にも利点が生まれます。ある標的型ランサムウェアによる攻撃を防止するために必要となる努力と予防措置は、他の攻撃を防止するために必要な対策と同じになります。これらの予防措置の詳細については、「SamSam ランサムウェア攻撃に備える」の記事を参照してください。

SophosLabs が明らかにしている攻撃の仕組みと防御方法の詳細は、『2019 年度版の SophosLabs の脅威レポート』を参照してください。

リュークのコスプレイヤーの画像は、クリエイティブ・コモンズ・ライセンスの下で、Flickr ユーザー Roger Murmann 氏から使用する許諾を受けています。