DeadBolt ランサムウェアが再び増加、QNAP デバイスを攻撃

** 本記事は、DEADBOLT ransomware rears its head again, attacks QNAP devices の翻訳です。最新の情報は英語記事をご覧ください。**

ランサムウェアは今なお脅威です

その上、ランサムウェアによる攻撃は実に多様です。

現代の大部分のランサムウェア攻撃には、2 種類の攻撃グループが関与しています。マルウェアを作成し、身代金の支払いを処理する中核グループと、実際にネットワークに侵入して攻撃を実行する「メンバー」からなる、「アフィリエイト」と呼ばれる大小さまざまな規模のグループです。

一度侵入に成功すると、アフィリエイトは被害者のネットワークを徘徊し、しばらく偵察活動を行った後、通例最も警戒の薄い時間帯に突然、多くのコンピューターをできるだけ一度に暗号化してしまいます。

通常、支払われた身代金の 70% を攻撃を行ったアフィリエイトが受け取り、残りの 30% を中核グループが受け取ります。中核グループは、自分たち自身では誰のコンピューターにも侵入することなく、まるで iTunes のように、アフィリエイトが攻撃を行うたびに 30% の「手数料」を受け取ります。

大部分のマルウェア攻撃は上述のような仕組みです。

しかし、Naked Security の読者の方であれば、特に個人のユーザーや中小企業が、NAS (ネットワーク接続型ストレージデバイス) を介して身代金を要求される事例をご存知でしょう。

PnP のネットワークストレージ

俗に言う「NAS ボックス」とは、小型の設定済みサーバーを指します。NAS ボックスは通例 Linux を搭載しており、ルーターに直接接続することで、ネットワーク上のすべてのユーザーが利用できるシンプルで高速なファイルサーバーとして機能します。

Windwos のライセンスを購入したり、Active Directory をセットアップしたり、Linux の管理方法を調べたり、Samba をインストールしたり、CIFS やその他のネットワークファイルシステムに関する知識を習得したりする必要がなく、手軽に扱えます。

NAS ボックスはいわゆる「プラグアンドプレイ (PnP)」のネットワーク接続型ストレージであり、LAN 上で簡単に運用できることから人気を集めています。

しかし、クラウド中心となった現在では、多くの NAS ユーザーが、しばしば誤って (あるいは意図的に) サーバーをインターネットに開放してしまい、潜在的に危険な状態を作り出しています。

特に、NAS デバイスが公共のインターネットからアクセス可能で、NAS デバイスの組み込みソフトウェアまたはファームウェアに悪用可能な脆弱性が含まれている場合、大変な事態が発生する可能性があります。

攻撃者はネットワーク上のラップトップやスマートフォンに一切触れないまま重要なデータを持ち出せるだけでなく、NAS ボックス内のあらゆるデータを改ざんできます。

すべての元ファイルを、攻撃者だけが知る秘密鍵を使って暗号化したファイルで置き換えてしまうことさえあります。

簡単に言うと、LAN 上の NAS ボックスに直接アクセスできるランサムウェアの攻撃者は、NAS デバイスにアクセスするだけで、ネットワーク上の他のデバイスには深刻な被害を与え、被害者に直接身代金を要求できます。

悪名高い DeadBolt ランサムウェア

悪名高い DeadBolt ランサムウェアによる攻撃も、上述のように行われます。

Windows マシンや Mac のラップトップ、スマートフォンやタブレット端末を攻撃するのではなく、データの保存場所であるメインストレージを直接狙うのです。

(夜間はほとんどのデバイスの電源をオフにしたり、「スリープ」状態にしたり、ロックしたりしているかと思いますが、NAS ボックスは通常、ルーターと同じように、毎日 24 時間ひっそりと稼働しています。)

NAS ベンダーとして知られる QNAP 社の製品の脆弱性を狙った DeadBolt の攻撃グループは、ネットワーク上のすべてのユーザーを環境から締め出し、データを「復元」するためと称して数千ドルを搾取することを目的としています。

攻撃を受けると、NAS ボックスからファイルをダウンロードしようとしたり、Web インターフェイスを介して NAS を構成しようとしたりした際に、次のような画面が表示される場合があります。

典型的な DeadBolt ランサムウェア攻撃では、メールやテキストメッセージでの交渉は行われません。攻撃者からのメッセージは上記のようにぶっきらぼうで直接的です。

実際、攻撃者とメッセージをやり取りすることはほぼありません。

オフラインで保存されたバックアップコピーなど、暗号化されたファイルを復元する他の方法が被害者に無い場合は、ファイルを取り戻すために攻撃者への支払いを余儀なくされます。この時、攻撃者は暗号通貨での支払いを要求します。

攻撃者のウォレットにビットコインが送信されることが、被害者からの「メッセージ」になるのです。

その返答として、攻撃者は被害者に対してごく少額の「支払い」を行います。この「返金」で、被害者と攻撃者のやり取りは完了してしまいます。

この「返金」は 1 ドルにも満たないものであり、ビットコインのトランザクションコメントを送信するためだけに行われます。

このコメントは 16 バイトのランダムな文字列で構成されており、以下のスクリーンショットでは 16 進数で 32 文字にエンコードされています。この文字列が、データ復旧に使用する AES 復号化キーです。

この DeadBolt の亜種は、QNAP 社を嘲笑する文章も掲載しており、攻撃を受けたあらゆるデバイスに対応する「万能復号化キー」を販売すると申し出ています。

おそらく、上記のスクリーンショットの攻撃者は、QNAP 社が顧客をゼロデイ脆弱性の危険にさらしたことに責任を感じ、各ユーザーが個別に 0.03 BTC (約 600 ドル相当 [2022-09-07T16:15Z]) を支払う代わりとして 50 BTC (現在約 100 万ドル相当) を一括で負担することに期待しているのでしょう。

DeadBolt の再流行

QNAP 社は、DeadBolt が再び流行しており、Photo Station と呼ばれる QNAP NAS の機能に存在する脆弱性を悪用していることを報告しました。

QNAP 社はパッチを公開しており、確実にアップデートを行うよう、顧客に促しています。

対策

ネットワーク上のどこかに QNAP NAS 製品が存在し、その製品が Photo Station ソフトウェアコンポーネントを使用している場合、危険にさらされる可能性があります。

QNAP 社による アドバイスは以下の通りです。

  • パッチを適用しましょう。Web ブラウザからデバイスの QNAP コントロールパネルにログインし、[コントロールパネル] > [システム] > [ファームウェアの更新] > [オンラインアップデート] > [アップデートを確認] の順に選択します。また、[アプリセンター] > [アップデートをインストール] > [すべてのアプリ] から、NAS デバイスのアプリをアップデートしましょう。
  • ポート転送を必要としていない場合は、ルーターでブロックしてください。 この設定により、インターネットから LAN 内のコンピューターやサーバーに接続したりログインしたりするためにルーターを「通過」するトラフィックを防げます。
  • 可能であれば、ルーターと NAS のオプションからユニバーサルプラグアンドプレイ (uPnP) をオフにしましょう。uPnP の主な機能は、ネットワーク上のコンピューターが NAS ボックスやプリンターなどの便利なサービスを簡単に発見できるようにすることです。残念ながら、uPnP によってネットワーク内のアプリケーションが誤ってネットワーク外のユーザーにアクセスを容易に (あるいは自動的に) 開放し、危険を招いてしまうこともしばしばあります。
  • NAS ボックスへのリモートアクセスを有効にする必要がある場合は、QNAP 社による具体的なアドバイスをお読みください。リモートアクセスは指定されたユーザーだけに制限しましょう。