オンラインバックアップを直撃するランサムウェア「Deadbolt」

** 本記事は、Serious Security: DEADBOLT – the ransomware that goes straight for your backups の翻訳です。最新の情報は英語記事をご覧ください。**

2021 年 1 月に、バックアップを破壊するランサムウェアの報告が相次ぎました。このランサムウェアは「Deadbolt」と呼ばれており、中小企業や愛好家、および熱心な個人ユーザーを標的にしているようです。

確認した限りでは、Deadbolt は非常にニッチな層を標的としています。バックアップが必要で、バックアップについての十分な知識もありながら、時間や資金をバックアップ作業に費やすことのできないユーザーです。

多くのランサムウェア攻撃の手順は類似しています。まず攻撃者がネットワーク内に侵入し、ネットワーク内のコンピューターをマッピングして、すべてのコンピューターのすべてのファイルを一気に暗号化します。その後、すべてのコンピューターの壁紙を変えて、「[莫大な金額] を支払えばすべてのファイルの暗号化を解除する復号キーを送る」という内容の脅迫文書を表示します。

残念ながら、この攻撃手法は大規模なネットワークに対して非常に有効です。多くの大胆な犯罪者が、業務を再開するためやむなく身代金を支払った組織から総計何億ドルをも強奪するのに成功しています。

しかし、Deadbolt はネットワーク上のデスクトップやラップトップではなく、インターネット経由で直接脆弱なネットワークアタッチドストレージ (NAS) デバイスを見つけ、攻撃します

実のところ、最近の攻撃者が提供する復号ツールは、たとえ何十万ドル、何百万ドル支払って得たものであっても、性能はあまり良くありません。たとえば、ソフォスの「ランサムウェアの現状レポート 2021 年版」で行われた調査では、身代金を支払ったとした回答者の半分が、少なくとも 3 分の 1 のデータを失っていました。より正確には、そのうち 3 分の 1 の回答者は身代金を支払ったにもかかわらず半分以上のデータを失い、4 % の回答者は身代金を全額支払ったにもかかわらずまったくデータを取り戻せないという散々な結果を迎えていました。

ラテラルムーブメントを用いない攻撃

Deadbolt マルウェアは QNAP 製品のセキュリティの脆弱性を悪用しています。そのため、まずネットワーク内のラップトップに足場を固め、そこから家庭内の、あるいは企業のネットワークに水平移動する必要がありません。

QNAP 社のセキュリティ勧告 QSA-21-57 で確認されたリモートコード実行 (RCE) の脆弱性を悪用して、ストレージデバイス自体に直接悪意のあるコードが注入される可能性があります。(脆弱性に関係する製品はインターネットに接続された他の多くのハードウェアデバイスと同様に、カスタマイズされた Linux ディストリビューションを実行しています。)

したがって、ネットワーク通信の「インターネット側」 (ルーターで WAN (wide-area network) と書かれている方のポート) から Web ポータルにアクセスできるようにバックアップデバイスをうっかり設定してしまうと、QSA-21-57 でパッチされたセキュリティホールを悪用して、誰でもマルウェアを使ってバックアップファイルを攻撃できます。

実際、ラップトップに「ライブ」で保存する余裕がないファイルを復元または調査する必要がある場合にしかデバイスを確認する習慣がない人は、次に NAS の Web インターフェイスにアクセスするまで、ファイルが暗号化されていることに気づかないかもしれません。

しかし、一度 Web インターフェイスにアクセスすれば、すぐにデータが消失していることに気づくでしょう。というのも、Deadbolt の攻撃者は NAS のポータルページを意図的に変更し、ユーザーに悲惨な知らせを突きつけるからです。

興味深いことに、Deadbolt の攻撃者は、電子メールアドレスや連絡を取るための Web サイトを被害者に通知しません。

攻撃者は、特定のビットコインアドレスに身代金を送ることで連絡を取るよう指示します (最近の攻撃では、現在およそ 1,250 ドル相当の 0.03 BTC が要求されています [2022-03-23T15:00Z])。

ブロックチェーンへの返信

攻撃者は、Bitcoin の公開ブロックチェーン上の取引メッセージとしてデータを暗号化し、取引の返信を介して 16 バイトの復号キーを送ることを約束します。

攻撃者とのメッセージのやり取りに暗号通貨のブロックチェーンを利用する手法は、最近頻繁に使われています。Poly Network に対する悪名高いハッキング事件では、攻撃者は総額約 6 億ドル相当の暗号通貨を盗み出しました。その後、同社が Ethereum ブロックチェーン上のメッセージを通じて攻撃者と交渉したことは有名です。攻撃者は暗号通貨の窃盗を正当化する奇妙なメッセージを数通送ったあと、突然 52454144 5920544f 20524554 55524e20 54484520 46554e44 21 というメッセージを送りました。このメッセージは READY TO RETURN THE FUND! (お金を返還する用意があります!) という意味です。これを受けて、Poly Network は攻撃者を「Mr White Hat」と呼ぶようになりました。同社は攻撃者がバグバウンティの一種として 50 万ドルを保持することを認め、驚くべきことに、最終的には紛失した暗号通貨の大部分を取り戻したのです。

「食べ放題ビュッフェ」

また、Kaseya ランサムウェア攻撃の筋書きを参考にしたのか、Deadbolt の攻撃者は、デバイス自体のメーカーである QNAP 社を標的にした「メタ脅迫」とでも呼ぶべき要求をしています。

攻撃者は、5 BTC (現在 20 万ドル強相当) で QNAP 社に脆弱性を公開すると主張していますが、QNAP 社の QSA-21-57 勧告には、今年 1 月にこの脆弱性を特定し、パッチを適用したと書かれていることから、2022 年 3 月現在、この申し出は意味のないものだと思われます。

さらに、50 BTC (現在 200 万ドル以上相当) で、現在流行しているバージョンのDeadbolt マルウェアに感染したデバイスをすべて復号できる「食べ放題ビュッフェ」のチケットを提供することを約束しています。

Kaseya の攻撃者が「汎用復号ツール」の料金として 7 千万ドルを要求したことは有名です。(この金額が、実際に被害者が結集して支払うことを期待したものなのか、それとも単に挑発のためのものなのか、当時は謎のままでした。)

興味深いことに、Kaseya 攻撃の加害者とされる人物の 1 人が近日中にテキサス州で裁判にかかる予定なので、上記の要求についてまだ何か判明するかもしれません。

良い知らせと悪い知らせ

良い知らせは、QNAP 社が 2021 年 1 月に QSA-21-57 で報告された脆弱性に対するパッチを公開しただけでなく、自動更新をオフにしたデバイスにもその更新を自動的に適用するという珍しい措置を取ったことです。

悪い知らせは、オンラインインターネットセキュリティ検索エンジンの Censys が、Deadbolt への感染事例が再び増加していると報告しており、ここ数日で 1,000 台以上の感染したデバイスが発見されたことです。

このマルウェアに感染した端末を特定するのは非常に簡単です。

公開でアクセス可能な IP アドレスが HTTP サーバーをリスンしている場合、Web サーバーのメインページで送り返される HTML の最初の数行で、そのサーバーがすでに Deadbolt によって暗号化されているかどうか (あるいは、意図的に攻撃されたふりをしているかどうか) がわかります。

上記のスクリーンショットのように、Deadbolt が脅迫文書を表示するページには、刺激的な大文字のタイトルがつけられています。このタイトルは HTML ページの上部に以下のように記述されており、単純な文字列検索で簡単に検出できます。

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8">
    [...]
    <title>ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.</title>
    [...]

一方で、なぜ Deadbolt が再び勢力を強めているのかは不明です。

事実として、明らかに攻撃を受けたデバイスが 1,000 台しかないというのは、全世界のインターネットの規模や、QNAP 社が過去に販売したデバイスの膨大な数に比べると極めて小さな数です。したがって、この 1,000 台はすべて、QNAP 社が自動更新の設定に関係なくすべてのデバイスを更新しようとしたにもかかわらず、1 月と 2 月には更新できなかったデバイスである可能性も十分あります。

また、Deadbolt の背後の攻撃者が、まったく新しいエクスプロイト、あるいは以前に使用したエクスプロイトの変種を作り上げた可能性もあります。しかし、攻撃者が本当に新しい攻撃を作り出したのであれば、Deadbolt の新規感染台数は急増しているはずです。

また、今回の Deadbolt の感染台数の増加はウクライナ戦争が引き起こしたサイバーセキュリティへの不安に起因する可能性もあります。これまでも理論的には危険ではあったものの、インターネットには公開されていなかったパッチ未適用のデバイスが、最近になってユーザーが慌ててネットワーク設定を「見直し」、「バックアップを頻繁に取る」ように設定したことにより、攻撃の対象となったということです。

しかし、ソフォスでは、Deadbolt の攻撃者、あるいはその関係者が、以前と同様に成功するかもしれないと思い、単にもう一度攻撃をしてみたのではないかと考えています。

理由はどうあれ、幸いにも誰も支払いは行っていないようです。上記のスクリーンショットで編集されているビットコインアドレス (私たちが最近確認したサンプルでは、被害者および QNAP に通知されたアドレスは 1 件だけでした) の残高は現在ゼロで、取引履歴も存在しません。

Deadbolt の「クラック」チャレンジ

興味深いことに、Deadbolt の攻撃者は 50 BTC で販売するとしている汎用復号キーの魅力的な (一方で解読不可能の) ヒントを、感染した各デバイスにインストールする脅迫ページに記載しています。

復号キーを Web ページに入力すると、復号ツールを起動する前に Web ページ自体がそのキーの有効性を確認します。これは、誤ったキーでデータを「復号」すると、元々適用されていた暗号化が解除されるのではなく、二重に暗号化され、文字化けしたデータが残ってしまうおそれがあるためだと考えられます。

復号キーを JavaScript のソースコードから直接読み取られることを防ぐため、Web ページは入力された文字列とコードに格納された文字列を直接比較するのではなく、入力された復号キーが正しい SHA-256 ハッシュを持っているかを確認するようになっています。

また、SHA-256 ハッシュは正しいキーからハッシュを生成するのは容易な反面、その逆はできないように特別に設計されています。したがって、正しいパスワードを知っている場合に正当性を確認することはできますが、知らない場合に元のパスワードを復元することはできません。

function check_key() {
  sha256_hex_bytes($('keyinput').value).then(r => {
    if (r === "xxxx[REDACTED]xxxx") {      // <--this one is unique to each attack
      $('key_info').innerHTML = 'correct key detected...';
      $('keysubmit').style.display = 'inline';
      $('keysubmit').disabled = false;
    } else if (r == "93f21756aeeb5a9547cc62dea8d58581b0da4f23286f14d10559e6f89b078052") {
      $('key_info').innerHTML = 'correct master key detected...';
      $('keysubmit').style.display = 'inline';
      $('keysubmit').disabled = false;
    } else {
      $('key_info').innerHTML = 'invalid decryption key entered.';
      $('keysubmit').style.display = 'none';
      $('keysubmit').disabled = true;
    }
 })
}

上述の通り、感染したデバイスに固有の、一回限りの復号キーの確認機能が提供されているのと同様に、QNAP 社に売り出されている数百万ドルの汎用キーを入力したかどうかを確認する機能も提供されています。

したがって、93f21756 aeeb5a95 47cc62de a8d58581 b0da4f23 286f14d1 0559e6f8 9b078052 という SHA-256 ハッシュを生成する入力データを発見できれば、Deadbolt ランサムウェアを完全に「クラック」したことになります。

対策

以下が、Deadbolt マルウェアから身を守るための、およびこの種のネットワーク攻撃から身を守るための一般的なアドバイスです。

  • ネットワークサーバーをインターネットに公開するのは、本当に必要な時だけにしましょう。 QNAP 社は、誤って公共のインターネットから NAS デバイスに接続されるのを防ぎ、デバイスにアクセスされたり、そもそもデバイスが発見されたりするのを防ぐ方法について勧告しています。インターネット経由で「ちょっかいを出される」可能性のあるプライベートデバイスがある場合に備えて、ネットワーク上のすべてのデバイスについて同様の確認を実施してください。
  • パッチの自動適用に頼りきらないようにしましょう。 NAS デバイスであれ、携帯電話、スマートテレビ、ラップトップであれ、自動アップデートを「設定して放置」するだけではいけません。自動的に取得したものであっても、手動で取得したものであっても、受け取ったアップデートが正しく処理されたことを定期的に確認しましょう。
  • ユニバーサルプラグアンドプレイ (UPnP) は使わないようにしましょう。 UPnP の「機能」は、簡略化のため、新しいデバイスのネットワーク設定をルーターが自動的に再設定できるように設計されています。そのため、UPnP は一見非常に便利なものです。しかし、この「機能」により、ルーターを介して新しいデバイスが表示されます。したがって、UPnP を使用することは、インターネット上の信頼できないユーザーにデバイスを公開するという巨大なリスクを伴います。QNAP 社の勧告は、NAS デバイスが UPnP を使用しないように設定する方法を紹介していますが、私たちはルーター自体で UPnP をオフにすることも推奨します。UPnP をサポートしているものの、設定でオフにできない場合は、新しいルーターを入手しましょう。
  • オンラインバックアップだけに頼らないようにしましょう。 接続された NAS デバイスに保存されたオンラインバックアップに加え、サイバー攻撃で自動的に消去されないオフラインバックアップも持っておく必要があります。

バックアップに関しては、「3-2-1 ルール」を忘れないようにしましょう。

3-2-1 ルールは、マスターコピーを含め、少なくとも 3 つのデータのコピーを持つこと、2 つの異なる媒体へのバックアップを使用すること (1 つが消失しても、もう 1 つが同様に消失する可能性が低くなるように)、そのうちの 1 つをオフライン、できればオフサイトで保管し、自宅やオフィスから締め出されてもデータにアクセスできる状態にすることを勧めています。

盗まれたバックアップデバイスにアクセスされないように、バックアップを暗号化することも忘れないようにしましょう。



自社で継続的な脅威対応を維持するための経験や時間が不足している場合は、ソフォスの Managed Threat Response のようなサービスとの提携をご検討ください。ソフォスでは、IT 管理者が日々のさまざまな業務に追われることなく、脅威への対処ができるよう支援しています。

時間や人手が足りませんか? ソフォスの Managed Threat Response の詳細についてはこちらをご覧ください。
Sophos MTR – 専門家による対応  ▶
24 時間 365 日の脅威ハンティング、検知、対応  ▶