FortiGuard Labs 脅威リサーチ
Ransomware Roundup:InlockおよびXoristの新型亜種
FortiGuard Labsは、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種についてデータを収集しています。隔週発行のRansomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。
この「Ransomware Roundup」最新版では、Inlockランサムウェアと、キューバを標的にしていると思われるXoristランサムウェアの新型亜種について解説します。
影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー: Microsoft Windowsユーザー
影響: 侵害されたマシンのファイルを暗号化し、ファイルの復号と引き換えに身代金を要求する
深刻度: 高
Inlockランサムウェア
Inlockは典型的なランサムウェアで、侵害したマシン上のファイルを暗号化し、影響を受けたファイルの復元と引き換えに、被害者に対して身代金を要求します。
最新のInlock亜種によって暗号化されたファイルには、ファイル拡張子「.inlock」が付けられています。Inlockは、スペイン語のメッセージが格納されたREAD_IT.txtという名前のランサムノートも残していきます。
図1:Inlockランサムウェアがドロップしたランサムノート
メッセージを翻訳すると次のようになります。
iiあなたのコンピュータは暗号化されました !!! 大変お気の毒ですが、あなたはサイバー攻撃の標的になっています。あなたの個人データはすべて暗号化されています。私に連絡をして、身代金交渉を行ってください。私が支払い金を受け取ったら、すべてのファイルを復号できる復号ツールをお送りします。貴重なデータが含まれていないことを願っています。;)
次のコードを失くさないようにしてください。データを二度と復元できなくなってしまいます。
Inlockはデスクトップの壁紙も変更します。
図2:Inlockランサムウェアによって変更されたデスクトップの壁紙
Inlockランサムウェアの明らかな設計ミスは、被害者がファイルの復号について攻撃者と交渉できる連絡先情報が提示されていない点です。このランサムウェアは、ボリュームシャドーコピーも削除します。攻撃者の連絡先情報が不明なため、被害者は暗号化されたファイルを復元できません。
Xoristランサムウェアの新型亜種
FortiGuard Labsは先日、Xoristランサムウェアの新型亜種も発見しました。Xoristランサムウェアファミリーは、少なくとも5年は活動を続けており、そのライフスパンは10年近くに及んでいるという報告もあります。
今回の新しいXoristランサムウェア亜種がどのように拡散されるか正確にはわかっていませんが、手掛かりはいくつかあります。たとえば、ランサムウェアの実行ファイルは「Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe」という名前で、これは「キューバ共和国正副大統領法令」と訳せます。もう一つの手掛かりは、関連するサンプルが主として10月31日にキューバからVirusTotalに送信されていることです。
これと同じ日に、無害のPDFファイル「Ley del Presidente y Vicepresidente de la República de Cuba.pdf」もVirusTotalに送信されています。このPDFは、2020年後期に開催された人民権力全国会議(キューバの国会)で「キューバ共和国公報」に分類されています。その親ファイルは、このPDFが格納された自己解凍型の.rarファイルですが、「You Are Hacked.exe」アプリケーションも起動するように設計されています。このアプリケーションは見つかっておらず、「You Are Hacked.exe」はXoristランサムウェア亜種のサンプルによってドロップされるファイルの名前です。私たちは、所在不明の「You Are Hacked.exe」アプリケーションはVirusTotalアップローダーによってファイル送信の前に削除されたと考えています。
以上のことから、攻撃者はXorist亜種を拡散するために2種類のファイルを用意していると考えられます。一つは、被害者にキューバ政府発行の正当なファイルを開いたと思い込ませる偽造PDFファイル、もう一つは、実際に不正な実行ファイルである偽造PDFファイルです。
図3:「Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe」に格納された無害のPDFファイル
Xoristランサムウェア亜種は、スペイン語のランサムノートを残します。
図4:Xoristランサムウェア亜種がドロップしたランサムノート
メッセージを翻訳すると次のようになります。
注意!
あなたのファイルはすべて暗号化されています。ファイルを復元して利用できるようにするには、このQRコードにビットコインで100ドルをお支払いください。
48時間以内に支払いがない場合、あなたのファイルはすべて削除され復元できなくなります。あなたが正しいコードを入力するチャンスは5回あります。
身代金の要求は100ドル相当のビットコインで、企業を相手にするには少額です。
これらの手掛かりから、このXoristランサムウェア亜種はキューバの一般消費者を標的にして設計された可能性が高いと結論付けることができます。
ランサムウェアはデスクトップの壁紙もランサムノートに変更します。このランサムノートには、攻撃者のビットコインウォレットのアドレスを表すQRコードが含まれています。本稿執筆時点で、このウォレットにトランザクションは記録されていません。
図5:Xoristランサムウェア亜種によって変更されたデスクトップの壁紙とQRコード
フォーティネットのソリューション
フォーティネットのお客様は、FortiGuardのWebフィルタリング、アンチウイルス、FortiMail、FortiClient、FortiEDRサービスによって、上記のマルウェア亜種から以下のように保護されています。
FortiGuard Labsは以下のアンチウイルスシグネチャを使用して、このブログで取り上げたランサムウェア亜種を検知します。
- W32/Filecoder.Q!tr.ransom
- PossibleThreat
- W32/PossibleThreat
IOC(Indicators of Compromise:侵害指標)
Inlockランサムウェア亜種
- 96e48ea92e40ebe25e26aa769b38cbe27f26f2718d184a6ba2fd3bb900992ebd
Xoristランサムウェア亜種
- 14cdb3735feec79d1bfbbcca899bc209b20e97283e7e600ff930b0019abeaef6
- 7d3075d8426c817154b05b695d6196e5ea977a67d0132cf552851f237c166f5e
- 097f45297c3595c45ccf60dff0508e77cbd7b96c9f1caca172635dcccf04f7a3
- 95c2dd45f074296cbbbfb37c004ebdf3db4240821cb8a8bba5ce6710285e4b4d
- 38f226d2c7ac8a803d3d1233a234a0c60d2ce88528fcf48092223e88eedf5023 (benign PDF file)
FortiGuard Labsのガイダンス
頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII(個人情報)の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。
大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。
FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。
フォーティネットが無償で提供するNSEトレーニング:NSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。
組織はデータバックアップの頻度、場所、およびセキュリティを根本的に見直し、進化を続け急速に拡大するランサムウェアのリスクに効果的に対処しなければなりません。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション(SASEなど)、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ(EDR:エンドポイントの脅威検知とレスポンス、など)、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。
フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS(Security-as-a-Service)の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。
ベストプラクティスは身代金の支払い拒否
CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター(Internet Crimes Complaint Center:IC3)を通じてランサムウェア攻撃のサンプルを提出することができます。
フォーティネットのサービス
インシデントが検知されると、FortiGuard Labsの緊急インシデント対応サービスが迅速かつ効果的に対応します。フォーティネットのインシデント対応サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト(机上演習)などが含まれます。
詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuard AI活用セキュリティのサービスポートフォリオをご参照してください。
