この記事は、Edmund Brumaghin、Warren Mercer が執筆しました。
概要
Talos は最近、ユーザを標的とする新しいランサムウェアの亜種をみつけました。これは、新たな脅威アクターたちが稼げるビジネス モデルに惹かれて、ランサムウェア市場に続々と参入し続けていることを示しています。その結果、より多くの独自のランサムウェア ファミリーが加速的に増加しており、ときとして複雑な、あるいは今回のように、洗練されていない亜種の出現につながっています。こうした新型のランサムウェア脅威は、システムへの感染やファイルの暗号化および削除、または被害者に支払いを強要する方法において、より確立された運用とは異なります。
このような新しいランサムウェア亜種の 1 つが Ranscam です。複雑性に乏しく、さまざまな脅しの戦術を使ってユーザに支払わせようとします。たとえば、「支払い確認ボタンをクリックした際に支払いが確認されない場合、その都度ファイルを削除する」とユーザに嘘の告知をします。もはや盗人に仁義はないようです。AnonPop などの脅威と同様、Ranscam は被害者のファイルを削除するだけです。たとえ被害者がランサムウェア作成者の要求に応じて、支払いを行ったとしても、脅威アクターが被害者のファイルを復旧するとは限らないことを改めて示しています。標的となる組織は、堅実な身代金支払い戦略ではなく、堅実なオフライン バックアップ戦略を持つことが重要です。優れたバックアップ戦略を確保することで、システムの復元を保証するだけでなく、攻撃者の収入源を断つことにもなります。こうした収入は、その後も犯罪組織の発展に利用される場合があるからです。
感染の詳細
身代金要求メッセージ
侵害されたユーザがまず気づくのは、身代金を要求するメッセージでしょう。このメッセージはマルウェアが表示するもので、いくつかの興味深い点があります。まずユーザのファイルを、もともとの格納場所に暗号化して残すのではなく、「暗号化された隠しパーティション」に移動したと主張します。また、メッセージは最初の侵害の後、リブートするたびにマルウェアにより表示されます。ユーザのデスクトップに一時保存される JPEG と、メッセージが表示されるたびに Internet Explorer を使ってリモート取得される 2 つのフレーム要素により構成されます。
メッセージの下部(Internet Explorer を使ってさまざまな Web サーバより収集される要素を使ってレンダリングされる部分)には、クリックして支払い確認をするボタンが表示されます。支払い確認のためにユーザを外部にリダイレクトすることはありません。その後、確認に失敗したという通知が表示されます。身代金要求メッセージは、ユーザが未払いのままボタンをクリックするたびに、ファイルを 1 つずつ削除すると脅します。
実は、マルウェアは HTTP GET リクエストを 2 回発行して PNG 画像を取得することで、確認処理を装っているにすぎません。実際には、確認は行われていません。
残念ながら、すでにユーザのファイルはすべて削除されてしまっています。Ranscam に復元機能は組み込まれていないので、作成者はファイルを復元することはできず、ユーザが身代金を支払うよう仕向けるため、こうしたトリックで復元できると見せかけているにすぎないのです。このマルウェアは一切暗号化(および復号化)は行わず、この攻撃者の狙いは「手っ取り早い金儲け」にあることが分かります。まったく洗練されておらず機能性にも乏しく、その点では Cryptowall のようなランサムウェアと類似しています。
実際の現象
このランサムウェアは .NET 実行可能ファイルとしてパッケージされ、reca[.]net が発行するデジタル証明書を使って署名されています。分析されたサンプルでは、このデジタル証明書は 2016 年 7 月 6 日に発行されたことになっています。
被害者がこのファイルを実行すると、ファイルがシステム上で永続的に存在できるよう、いくつものアクションが実施されます。ファイルはまず、自身のコピーを %APPDATA%\ に作成し、タスク スケジューラを使ってシステムを起動するたびに自身が実行されるようスケジュール済みタスクを設定します。さらに、実行可能ファイルを展開し、%TEMP%\ に格納します。
上記のスケジュール済みタスクに呼び出された実行可能ファイルは、Windows コマンド プロセッサを使ってバッチ ファイルを呼び出します。このバッチ ファイルは、本ランサムウェアによる破壊行為の大半を担うものです。
バッチ ファイルは被害者のファイル システム上にある複数のフォルダ、主にユーザ プロファイル フォルダや複数の定義されたアプリケーション ディレクトリを単純に繰り返し辿るだけです。しかしその際、ユーザのファイルを暗号化するのではなく、フォルダの中身を削除してしまうのです。
スクリプトは他にも、感染したシステムに対し以下のような破壊的行為を実施します。
- システムの復元を担う、主要な Windows 実行可能ファイルを削除
- シャドウ コピーを削除
- セーフ モード起動に関連する複数のレジストリ キーを削除
- レジストリ キーを設定してタスク マネージャを無効化
- キーボードの Scancode Map を設定
その後、スクリプトは PowerShell を使って、身代金要求メッセージのレンダリングに使用する JPEG を取得できるようにします。
上記が完了すると、スクリプトはシステムを強制終了します。以上の一連のアクションが、感染したシステムが起動するたびに繰り返されます。スケジュール済みタスクがマルウェアを呼び出し、さまざまなディレクトリを確認して新しいファイルが存在しないか調べ、見つかった場合は削除します。その後身代金要求メッセージを表示し、最終的にはシステムを強制終了します。
身代金要求メッセージが使用するコンテンツをホストする Web サーバの、ファイル一覧を以下に示します。この一覧は、脅威アクターの Web サーバで、デフォルトの構成のまま使用されていたものから取得しました。このデータを難読化しようとした形跡はまったくありませんでした。
分析の際、私たちは要求されたビットコイン取引を「たまたま」正常に実行できなかったとして、登録した電子メール アドレス経由で支払い手順を送るようランサムウェアの作成者に要請しました。
要求後、間もなくして以下のメールが届きました。
次に、支払いにおけるサポートを依頼することで、この脅威アクターについて何か情報を得ることができないか試してみることにしました。
2、3 時間後、さらに詳しい手順を説明する、以下の返信が届きました。次の日銀行が閉まる前に支払いを行うようにという「親切な」助言もありました。
残念ながら、脅威アクターからこれ以上の連絡が来ることはありませんでした。しかし、支払いを受け取るために、被害者に対して継続的な技術サポートを提供するというランサムウェア運用における姿勢が見て取れます。
匿名性が高く、摘発のリスクを免れるために、ビットコインを使用することが合理的であると攻撃者は判断したようです。しかし、ある重要な OPSEC 上の間違いを犯しています。アドレスの再利用です。攻撃者は、Talos が確認したすべての支払い、そしてすべてのサンプルに、同じウォレット アドレスを使用していました。アドレスは以下のとおりです。
1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd
Talos ではこのアドレスに関連するすべての取引を調べ、合計 $277.61 の取引を確認しました。実行可能ファイルの署名に使われたデジタル証明書が 7 月 6 日に発行されていることから、攻撃者はこのお粗末なランサムウェア実装を公開する前にも、このウォレットを使用したことがあることが分かります。2016 年 6 月 29 日以来、このウォレットに関連した取引は確認されていません。
まとめ
Ranscam の例より、脅威アクターを素直に信じてはいけないことが分かります。攻撃者は目的を果たすためには偽装行為も行います。今回のケースでも、偽装行為により被害者を支払いに追い込もうとしています。もともと被害者のファイルを取得、復元する手段を提供する意思などないのです。
現在、Ranscam キャンペーンは広くは普及しておらず、このスケアウェアを活用した大規模な迷惑メール キャンペーンも確認されていません。Ranscam は攻撃者がランサムウェアおよびスケアウェア市場に参入したがっていることを示します。斬新な攻撃を展開する必要も、それどころか、機能するランサムウェアを用意する必要もありません。マルウェア作成者としては明らかに素人であり、洗練されたキャンペーンではありません。Ranscam の主目的は、被害者を脅迫して支払いに追い込むことですが、マルウェアの支払い画面の描画に必要なフレームのレンダリングに失敗するなど、それすら満足にできないこともあります。
Talos として、今回の調査の教訓として提示したいのは、現実的な目標復旧時間(RTO)を実現できる包括的なバックアップ ソリューションこそが、ランサムウェアに対する防御として有効であるということです。感染してしまったシステムを、できるだけ早く元の構成に戻せる能力を保つことを目標とすべきなのです。そうすることで、攻撃者の戦術や技術、手順のさらなる洗練のための収益源を断つことができるのです。
また、こうしたバックアップはその機能や効果、さらには組織のニーズに適合しているかを、定期的にテストする必要があります。組織のニーズは時を経て変化する場合があるため、注意が必要です。
組織がランサムウェアの作成者に金銭を支払えば、機能の発展とさらなる被害者への感染に必要な資金を脅威アクターに提供することになります。つまりそのランサムウェアの拡散に貢献することになるのです。さらには、攻撃者に支払いを行う組織は、最初の侵害を完全に根絶しない限り、または根絶する能力がない場合、今後も侵害の標的となります。また、身代金を支払う意思のある組織であることを自ら示すことになってしまい、感染により金銭を得やすいと見なされ、脅威アクターの標的となる可能性を高めてしまう場合があります。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。
IPS のネットワーク セキュリティ保護や NGFW には、攻撃者による不正なネットワーク アクティビティを検出できる最新のシグネチャが備わっています。
ESA は、攻撃活動の一環として攻撃者が送信した悪意のある電子メールをブロックできます。
侵害の兆候(IoC)
ハッシュ:
9541fadfa0c779bcbae5f2567f7b163db9384b7ff6d44f525fea3bb2322534de (SHA256)
7a22d6a14a600eee1c4de9716c3003e92f002f2df3e774983807a3f86ca50539 (SHA256)
B3fd732050d9b0b0f32fafb0c5d3eb2652fd6463e0ec91233b7a72a48522f71a (SHA256)
接触したホスト:
s3-us-west-1[.]amazonaws[.]com 54.231.237.25
crypted[.]site88[.]net 31.170.162.63
publicocolombiano[.]com 192.185.71.136
www[.]waldorftrust[.]com 205.144.171.114
cryptoglobalbank[.]com 31.170.160.179
格納されたファイル:
%APPDATA%\winstrsp.exe
%TEMP%\winopen.exewinopen.exe
登録電子メール アドレス:
cryptofinancial[@]yandex[.]com
本稿は 2016年7月11日に Talos Group のブログに投稿された「When Paying Out Doesn’t Pay Off」の抄訳です。