脅威リサーチ

Ranionランサムウェア:長期間存在し、目立たないRaaS

投稿者 Shunichi Imano および Fred Gutierrez | 2021年10月13日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Microsoft Windows
影響を受ける対象:       すべてのWindowsユーザー
影響:             感染したマシン上のファイルが暗号化され、暗号化されたファイルを復元するために被害者に身代金を要求します。
深刻度:            クリティカル

この記事は、Val Saengphaibulの協力により作成されました。

Ranionは、サービスとしてのランサムウェア(Ransom-as-a-Service:RaaS)の1つで、少なくとも2017年2月以来、異例の長寿命を誇っています。このRanionの活動と目的は、感染したマシン上のファイルを暗号化し、ファイルを復元するためにユーザーから身代金を受け取ることで、一般的な観点では他のランサムウェアと同じに見えますが、実際は、Ranion RaaSの内部の働きは他のランサムウェアと異なります。

このブログでは、FortiGuard LabsがRanion RaaSの仕組みを説明します。

12世紀の日本の平家と源家との間の戦を扱った軍記物語である「平家物語」の冒頭の一節は、2021年におけるさまざまなランサムウェアグループの興亡の説明に役立ちます。

「祇園精舎の鐘の声、諸行無常の響きあり。
沙羅双樹の花の色、盛者必衰の理をあらはす。
奢れる人も久からず、
ただ春の夜の夢のごとし。
猛き者も遂にはほろびぬ、
偏ひとへに風の前の塵におなじ。」
― Royall Tyler
The Tale of the Heike(平家物語

ランサムウェアの活動と短いライフスパン

サイバー犯罪組織やマルウェアの監視を行う私たちにとって、ランサムウェアは通常は非常に短命です。2021年に最も注目された一部のランサムウェアの動向を以下に示します。

活動停止:

  • 2019年から活動するREvil(別名Sodinokibi)ギャングは、6月に姿を消しました。
  • ランサムウェアグループのAvaddonは6月に活動を停止しました。同グループの活動開始は2019年でした。
  • ランサムウェアギャングのRagnarokは、2019年から活動していますが、8月に活動を停止し、暗号化キーをリリースしました。
  • Darksideは、2020年に初めて登場し、米国の大手パイプライン企業に被害を与えた後、5月に閉鎖しました。
  • FonixCrypterランサムウェアは、1月に犯罪行為活動を諦め、復号化ツールとマスター復号化キーをリリースしました。マスター復号化キーを使用すると、被害者を問わずFoxCrypterによって暗号化されたすべてのファイルの復号化が可能です。

登場とブランド名の変更:

  • Blackmatterランサムウェアは、7月にサイバー世界のアンダーグラウンドフォーラムで広告されました。Blackmatterは別のランサムウェアのブランド名が変更されたものではありませんが、Darksideギャングとの関連が噂されています。
  • Haronランサムウェアは7月に登場し、これはランサムウェアのThanosとAbaddoがベースになっています。
  • DoppelpaymarランサムウェアはGrief(PayOrGrief)にブランド名が変更されました。
  • SynAckランサムウェアは8月にEl_Cometaにブランド名が変更されました。

 

図1:2021年に活動を停止 / 開始したランサムウェアの活動期間

2021年に活動停止またはブランド名変更があった上記に記載のランサムウェアの平均活動期間は2年弱です。活動を停止する理由はランサムウェアグループによって異なりますが、一般的に、法執行機関やセキュリティリサーチャーからの不要な注目を避けるために行います。

Ranionは4年経っても依然として活動

FortiGuard Labsが最近遭遇したRanionランサムウェアの亜種はこのようなトレンドとは全く逆です。Ranisonランサムウェアファミリーは、少なくとも2017年初頭から存在しており、4年以上の長寿命となっています。2017年の2月に、Radware SecurityのDaniel Smith氏が初めてRanionランサムウェアに光を当て、それをサービスとしてのランサムウェア(Ransom-as-a-Service:RaaS)と述べました。驚くべきことに、ダークウェブ上のRanionのウェブサイトは比較的変っていません。Ranionの開発者は現在もRanionは教育的目的で開発したものだと主張しており、ランサムウェアを不法な活動に使用しないようユーザーに要請しています。

Ranionの最新バージョンは1.21で、2021年7月にリリースされました。驚くべきことに2021年の現在、Ranionの開発者は毎月ランサムウェアを更新しています(5月を除く)。これには検知回避の更新も含まれており、このランサムウェアが教育目的であるという主張には疑問を抱かせます。別の興味深いデータポイントとして、バージョン1.08は少なくとも2018年1月にリリースされており、35ヵ月間の更新はわずか7回でした(2018年1月~2020年12月)。しかしながら、2021年になり急に開発が加速化したとみられ、理由は不明ですが、7ヵ月間で6回更新されています。2021年に実施された各更新には、ConfuserExと呼ばれるオープンソースプログラムが利用した追加コードが含まれており、検出を回避し、セキュリティベンダーに識別されないよう保護します。この部分は後で説明します。

Ranion RaaSの説明

図2:ダークウェブ上のRanionランサムウェアのトップWebページ

Ranionランサムウェアの最新バージョンは以下の44種類のファイル拡張子を使用し、感染したコンピュータ上にあるファイルを暗号化するよう設計されており、過去の分析と比較して、新しいファイルタイプが5つ追加されています(新しく追加された拡張子はオレンジ色でハイライト)。

.wallet, .txt, .rtf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .ods, .pdf, .jpg, .jpeg, .png, .gif, .bmp, .csv, .sql, .mdb, .db, .accdb, .sln, .php, .jsp, .asp, .aspx, .html, .htm, .xml, .psd, .cs, .java, .cpp, .cc, .cxx, .zip, .rar, .pst, .ost, .eml, .pab, .oab, .msg

このランサムウェアは実行ファイルを暗号化するように設計されていませんが、Ranion開発者によると、ユーザーは「Ranionランサムウェアはすべてのファイルを標的とすることが可能で、他のファイルタイプ / 拡張子の暗号化を無料でリクエストできます」と述べています。

Ranionのマネタイズ方法

もともと、2017年当時、Ranionは2つのサポートパッケージを提供していました(1年サービスと6ヵ月サービス)。現在、Ranionチームは4種類のサポートパッケージ(エリート、プレミアム、スタンダード、テスト)を提供しています。

 

エリート

プレミアム

スタンダード

テスト

Ranionランサムウェア(32ビット)

Ranionランサムウェア(64ビット)

復号化ツール

サブスクリプション期間(月数)

12

12

6

1

報酬の割合

ランサムウェアの機能

遅延起動

遅延暗号化

タスクマネージャー

レジストリエディタ無効化ツール

UAC(ユーザーアカウント制御)の迂回

デスクトップの壁紙変更

IP追跡

オフライン暗号化

サポート

リアルタイムクライアントマネージャー

アドオン:ドロッパー(+90 USD)

AUP[1]

AUP

アドオン:クローン(+90 USD)

AUP

AUP

アドオン:FUD+(+300 USD)

AUP

AUP

AUP

アドオン:プロセスの強制終了不可(+90 USD)

AUP

AUP

価格(USD)

1900

900

490

120

図3Ranionランサムウェアのパッケージと価格

以前は、最も高額なパッケージは0.95ビットコイン、最も安価なパッケージは0.60ビットコインで提供されていました。2017年2月の1ビットコインの価値は約1,200米ドルだったので、これらのパッケージはそれぞれ約1,140 USDおよび720 USDで販売されていたことになります。2021年9月現在、1ビットコインは約50,000 USDで交換されているため、Ranionの開発者は価格を調整したほか、割引を提供して簡単にアドオンオプションを購入できるようにしました。

Ranionのビジネスモデルは他のRaaSベンダーとは大きく異なります。通常、RaaS(Ransomware-as-a-Service)ベンダーは、ランサムウェアを被害者のマシンにインストールすることに成功した「アフィリエイト(利用者)」に対して、収集したすべての身代金の60%~80%を支払います。Ranionの開発者は中抜きを行いません。その代わり、RanionのアフィリエイトはRaaSサービスの料金を前払いし、収集した身代金を100%すべて受け取ります。また、一部のRaaSベンダーは経験豊富なアフィリエイトの採用を試みたり、アフィリエイトの候補を選別してからサービスのサインアップを許可する場合もありますが、Ranionの開発者はそうではありません。このことが、経験が浅いアフィリエイトがまずRanionからスタートする理由の1つです。Ranionを通して彼らはランサムウェアの運用に慣れることができます。また他のランサムウェアギャングが課している審査プロセスを通過できなかったアフィリエイトの選択肢ともなっており、入り口のハードルを下げています。

このモデルがどの程度機能しているか確認するために、古いRanionサンプルの1つが身代金の支払いに使用しているビットコインウォレットをいくつか追跡しました。このRanionサンプルが利用使用になってから1週間以内に中程度の支払いが2件あり、合計で約153 USDと460 USDに相当するビットコインがこのウォレットに支払われていました。一方で、Ranionが使用するビットコインウォレットには、他の2つのビットコインウォレットの取引が記録されていました。これらのウォレットの1つには、300以上の異なるビットコインウォレットから約470万USD相当のビットコインが送金されていました。

ドロッパーアドオン

Ranionの別の注目すべき特徴として、購入者がドロッパーアドオンを購入できることです。一見すると、「ドロッパー」とはRanionのアフィリエイトがランサムウェアの配布に使用可能なマルウェアに聞こえるかもしれませんが、そうではありません。購入サイトに投稿されているFAQによると、このドロッパーアドオンは次のように説明されています。「RANIONは、暗号化プロセスの終了後、お客様のプログラム(exeファイル)をダウンロードして実行することが可能です。」

たとえば、このアドオンを使用すると、攻撃者はRanionに感染した被害者のマシン上にリモートアクセスツール(RAT)をサイレントにダウンロードし、インストールすることができます。被害者が身代金を支払った場合であっても、Ranion復号化ツールは暗号化されたファイルの復号化のみ行い、RATは削除されません。Ranionのアフィリエイトはその後、既存の企業アクセスの購入に積極的な他のRaaSサービス(最近ではすぐに思い浮かぶのはLockbit 2.0とBlackmatter RaaS)へ、ネットワークアクセスを販売して追加的な利益を得ることができます。このスキームは確かに「教育」になりますが、ランサムウェアのアフィリエイトのみ適しています。

1購入には、AUP(利用規定)があります

図4:有料の「ドロッパー」アドオンについてのFAQ

図5:RanionのC&Cダッシュボードのサンプル

Ranionランサムウェアの配布方法

FortiGuard Labsが最近観測したRanionランサムウェアの配布方法は非常にシンプルです。配布は、Ranionランサムウェアの実行ファイルを含むzipファイルを添付したスピアフィッシングメールを利用して行われていました。Ranionは初心者の脅威アクターに適しており、ランサムウェアの配布が高度でないことが、Ranionがランサムウェアの分野で確固たる地位を獲得できていない理由の1つであると考えられます。また、このことが、Ranionが4年以上にわたり水面下で存続できている理由と思われます。

図6:Ranionランサムウェアの配布に使用された最近のスピアフィッシングメール(スペイン語とフランス語)

Ranionの身代金メッセージはデフォルトで8つの言語に対応しています(英語、ロシア語、ドイツ語、フランス語、スペイン語、イタリア語、オランダ語、ペルシャ語)。これらの言語が主に使用されるすべての地域は、Ranionの標的となる可能性があります。

Ranionランサムウェアの起源:HiddenTear Copycatとは

Ranionのコードは、HiddenTearと呼ばれるオープンソースの概念実証型のランサムウェアをベースとしています。これら2つのプロジェクトの間には、コードの類似点がいくつかあります。

図7:HiddenTearのAES暗号化

上記のスクリーンショットは、HiddenTearで暗号化関数を実装する部分のものです。このスクリーンショットは、https://github.com/goliate/hidden-tear/blob/master/hidden-tear/hidden-tear/Form1.csで閲覧できます。比較として、Ranionにおける実装部分を以下に示します。

図8:RanionのAES暗号化

HiddenTearでは、この関数を使用してファイルを暗号化します。

図9:HiddenTearのファイル暗号化

Ranionでは、同様の方法で暗号化を実装しています。

図10:Ranionのファイル暗号化

これらはほんの一例です。全体的なプログラミングの類似性はさまざまな場所で見られます。また、Ranionでは、HiddenTearと類似したリソースセクションを保持しています。

図11:Ranionのリソース

注:このRanionの亜種は2017年のもので、SHA256のハッシュ値 は「eed03a9564aee24a68b2cade89d7fbe9929e95751a9fde4539c7896fda6bdcb5」です。

難読化

完全に検知できないようにするため、Ranionチームは今は亡きConfuserプロジェクトの後継であるConfuserExを一貫して利用しています。ConfuserExは無料のオープンソースの難読化ツールで、シンボルのリネーム、デバッグ防止、暗号化、圧縮、その他の機能によって.NETアプリケーションを保護することで、マルウェアの解析を困難にします(詳細は、こちらのgithubプロジェクトページをご覧ください)。

解析した以下の2017 Ranionの亜種は、Confuserプロジェクトによって「保護」されていました。

図12:Confuserを使用する2017 Ranion

以下の2021年のRanionの亜種はConfuserExを使用して保護されていました。

図13:ConfuserExを使用する2021 Ranion

ConfuserExは、文字どおり.NETアプリケーションを保護することができますが、この場合、回避技術を利用して、アンチウィルス業界からマルウェアが検知されないよう保護します。

結論:Ranionランサムウェア

HiddenTearベースのRanionは目立たず低コストで、他の多くの悪名高いランサムウェアギャングほどの成功は収めていません。一方で、このランサムウェアサービスは、新たな脅威アクターがより高度で悪意のあるサービスを利用する足がかりとして使用するには十分な基本機能を備えています。Ranionは、サイバー犯罪者の志願者に対するトレーニングに役立つという点でのみ「教育的」であり、洗練された高度な配布や伝播メカニズムを採用しただけの他のランサムウェアの亜種と同様の被害を与えることが可能です。

フォーティネットのソリューション

フォーティネットのお客様はすでに以下のFortiGuardのAntiVirus、およびFortiEDRサービスによって保護されています。

MSIL/Kryptik.LMX!tr

MSIL/Agent.AZG!tr

MSIL/Agent.BJU!tr

MSIL/Bladabindi.FM!tr

MSIL/Filecoder.FU!tr

MSIL/GenKryptik.BLYY!tr

MSIL/GenKryptik.FEWS!tr

W32/Crypmodadv.A!tr

W32/DOTHETUK.FU!tr.ransom

W32/Hesv.BXFI!tr

IOC(Indicators of Compromise:侵害指標)

SHA2:

52f6e8c0c28f802d8dfd9138bcc971d449d0526469a36541359b6fc31d44d7dc

d63f032180d6cbc3165f79dac13f81e69f3176b06f0ff4b162b167e4f45f5e93

f687c51ee4889c6a35536d06c87b0123d17a483f7e2f5efcfb423fba94e186be

f18044a85ceb3c472ae57e3473e2f14f945f22a9df634caa242b11e5f81c561b

e4c42969a0327ce133b8b6dd52b0f2e926fbc43a48cf2abbd78d521e310b00e4

41ad23008aea13bccf60249c24ee290e9867223d783bc9ddc4234b8e1d21008d

d894cfa1f2e55ea8fb61598d1312d92c6c1667f97ec683dfa5b5350b32402099

2a8f7abaa6b896bdcc8f73a78af89274df5ee5f586edb88a0b4fd0b06cbaf6bd

19b2da9261d163d3a8e25916b0c960bae36d4334172faa2eb7f720c7483f0fb1

434bbb0e4f289944e6c1fafc11e7f3353056857fb90abafd17e2c6ec697d94b3

bbe77c293bf11c5e8d26ff1583cf546a346de5d666e5558b17f056f1117ddaf8

7afbb979ac6485cbe4d21955dd0f4444d67d2b99aa3d420c09bcc7d54949ed7c

ac5e6f8e646311bf3645ccdccf7119712ada6811d973444d3a763d17083ef028

2ab7ba4aa579ffda113b3f1a693cb2f6b45c5adb833301762d623089f5e37694

4ad4aabd3ec941e6eb442aadae23e01539f63c093582ebf9239681fe399c7571

e28afea1a286b27c9f4578cb27729e180dd20f406282e489328e11722b37af73

8a4298a5c2101baf0315a2c5ed297a6b9912c673a200a7082fb96fcaa21a7316

798a618bf3b817751de722bc84475d5dca798fb48e844804d530e34e920fad09

bd82bb30089383547fcc1ab8181c957f770a99c1499db211fa3245135fcce2be

eba37b0cef846c16bca30804557d7dae57b16cda506a111e2e4c6f7ef54cab70

507cc65037febbad93cd5a4c10d1e870f4f73069484bd7913349deb139c18ea2

b93a45691e955d4600dde6219125f0a38b0544ad48872bc4ebda5436cf2c0bc0

abf13688180d505d07b04a6643941a571de1efd97b46631abfafd555863ec33e

0f2bbf749501297928efbd4a12d8a1858c7944516e8b15817988a429eae4e632

a9671f6455895b1e0875eec277015672ea816dc5299cfd519db2dc4bc38ce693

0a59c6b2ec5dbaa7e36b52dc494d1e58e918f32695cfb28104a5c82b09a9554f

ca7aaa3de1948dc882d55d40a0269a145e34f1e07b2b1e932040863e6d1dedb8

27cb1df4a3092c42ddfd93db50cc78813a823a881e6d131410915d0ded6515c4

46b9c46520f00b25924cc0a137393f67a0f4395da8cdc37b32985b90d7285252

46462ba2ac8018901239800f1c4562a31618b1565fe559ab826feef303adab8d

df7c5267c9e61d7b23a3a771623c6b274fb601023725a8af1b8bc25ae8bcbdb6

0085d31140895d16a2f92a77b62fb50db0d05fa47b447e21bca062532b5bf0d2

780a576b7ea69b46eb8a698aac0c6ee6e2e426fddcd7a99b749f5aa083e8f72b

94968c73dacfd68500ca59905e410ca4ccafe92cd8e223ed47ad916ee82a6dfb

c18c9cf30056d9ebfda69bb9869a38b5ab2d2e3d388a747d7ec8516e022aa7e9

19d9ec2713d913d5325a72ce646351a2384d86efd5dcecebb354ef2bc9e801a2

c38e068677903ccd9b117bacaa3b201616668e449856f8d14894f9acf3f6e9cc

378b34a3e1f760dc7d6c5ff742c543a0184a255c7c3422e348eab05dca1377f9

e9352eb25a1ef3fc8d88fd62a4253d4b8db3931366f012e9ee7916818f74ad55

f7b6ac95cbf4f4122c67e3f841de1152cb032e36d768cd71618cbaf95f131727

df16d6b57a0290b8d7276285020cf6cf5e7c4a561516500fd44e862ea32c1073

dbd00dffb77998d4b0c9946e727279831f19e5d58059b0de353cb191f6c3ca00

1bbc33db0c52d5c3f2798f726bb476cf20d00eeae971e98926bbfbf194e7e03c

98f16b75d1c9e3c8914b10de4b6286397285d226785b42766847b35558ee0dc7

86c6a8c1cd461dafdc30ce37eca355f096ff35ccd48b4de3f2f3bd56d0cef543

c5234f098cf2319c813e8025e0ea04b4f45de4ad195b64ba80fe9a098de54431

0361585476c9e04cbe9efac74fe76e32d84e2e682ac4a8e5f67860a719e7b6d0

1fdaae6a5b1d69d795a07b5518568964dc53e181b22ad2427e7f10c60d61241b

4824c68f18089c44af8426b9a2d7960f5caa572777a46b3a172093b321acbf1d

eed03a9564aee24a68b2cade89d7fbe9929e95751a9fde4539c7896fda6bdcb5

023b12665ff5c46331ece74d220c52a28439ada61210183bbd921e1ef833645c

aa9bbffae11e2a2af53acbb56129d99cb93c78c98202f5c19b095f9ed296a2ce

ea00fffa874669e743d125fcdb55ba591a54d469c621eada61f304495269a35c

f389a83b1309ff17c9c0faf1d9e079ceae3b4111c6813ad50bd451a9a19b291b

33d24a576f00847d44315c1d6d588a3aa45031dec2b1590bc67bc6800e455cf6

MITRE ATT&CK information

Execution

            - T1204.002: Malicious File

Persistence

            - T1547.001: Registry Run Keys/Startup Folder

Privilege Escalation

            - T1548.002: Bypass User Account Control

Defense Evasion

            - T1027.002: Software Packing

            - T1548.002: Bypass User Account Control

            - T1562.001: Disable or Modify Tools

Discovery

            - T1083: File and Directory Discovery

Impact

            - T1486: Data Encrypted for Impact

            - T1491.001: Internal Defacement