FortiGuard Labs 脅威リサーチ
Ransomware Roundup:8base
Article Contents
FortiGuard Labsは隔週で、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。
今回の「Ransomware Roundup」では、8baseランサムウェアを取り上げていきます。
影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー: Microsoft Windowsユーザー
影響: 被害者のファイルを暗号化して不正に取得し、その復号と引き換えに身代金を要求する
深刻度: 高
8baseランサムウェアの概要
8baseは金銭を目的とするランサムウェア亜種で、Phobosランサムウェアを基盤としているとみられています。FortiReconの情報によれば、8baseランサムウェアが最初に出現したのは2023年5月でした。
感染経路
FortiGuard Labsは、8baseランサムウェアを配信するSmokeLoaderの亜種を観測しました。これらのSmokeLoaderのサンプルには、bab3c87cac6db1700f0a0babaa31f5cd544961d1b9ec03fd8bcdeff837fc9755やea6adefdd2be00d0c7072a9abe188ba9b0c9a75fa57f13a654caeaaf4c3f5fbcなどがあります。これ以以外の方法で8baseランサムウェアが配信される場合もあります。
被害者に関する情報
フォーティネットのFortiReconサービスが収集したデータによると、8baseランサムウェアは多数の業種を標的にしていました(図2)。8baseによる影響が最も大きかったのはサービス業で、製造業と建設業がそれに続きます。
被害を受けた組織を国別にランク付けすると(図3)、米国が大差をつけて1位になっています。
8baseランサムウェアの攻撃手法
8baseランサムウェアは実行されると、暗号化するファイルを探します。ファイル名に以下のいずれかの文字列が含まれている場合、そのファイルは暗号化から除外されます。
info.hta(ランサムノート) |
info.txt(ランサムノート) |
boot.ini |
bootfont.bin |
ntldr |
ntdetect.com |
io.sys |
recov |
以下のフォルダも除外されます。
- C:\\Windows
- C:\\ProgramData\\Microsoft\\Windows\\Caches
Cachesフォルダ内のファイルを暗号化しない理由は、ソフトウェアに問題が発生する可能性があるためと思われます。
8baseはファイルを暗号化する前に、以下のプロセスの強制終了も試みます。
msftesql.exe |
sqlagent.exe |
sqlbrowser.exe |
sqlservr.exe |
sqlwriter.exe |
oracle.exe |
ocssd.exe |
dbsnmp.exe |
synctime.exe |
agntsvc.exe |
mydesktopqos.exe |
isqlplussvc.exe |
xfssvccon.exe |
mydesktopservice.exe |
ocautoupds.exe |
agntsvc.exe |
agntsvc.exe |
agntsvc.exe |
encsvc.exe |
firefoxconfig.exe |
tbirdconfig.exe |
ocomm.exe |
mysqld.exe |
mysqld-nt.exe |
mysqld-opt.exe |
dbeng50.exe |
sqbcoreservice.exe |
excel.exe |
infopath.exe |
msaccess.exe |
mspub.exe |
onenote.exe |
outlook.exe |
powerpnt.exe |
steam.exe |
thebat.exe |
thebat64.exe |
thunderbird.exe |
visio.exe |
winword.exe |
wordpad.exe |
|
|
|
これらのプロセスを強制終了すると、そのプロセスで開かれているファイル(MS Officeなど)が閉じられ、ランサムウェアがそれらのファイルを暗号化できるようになります。
8baseランサムウェアはファイルサイズもチェックします。しきい値は1.5 MBに設定されています。1.5 MB未満のファイルは完全に暗号化されます。一方、1.5 MBを超えるファイルは部分的に暗号化されます。これは恐らく、暗号化の速度を上げるためでしょう。ランサムウェア開発者の間では、暗号化速度がしばしば競争の的になります。なぜなら、彼らは被害者が感染に気付く前に、できるだけ多くのファイルを暗号化したいからです。もう少し詳しく説明すると、8baseランサムウェアは0x40000 nullバイトで構成されたブロックを、最終出力 / 暗号化ファイルの先頭から始めてさまざまな部分に注入します。さらに、最後の0xC0000バイトを(追加の暗号化されたメタデータと共に)暗号化し、ファイルの他の部分は暗号化せずに残しておく場合もあります。
図4:8baseランサムウェアによるファイルサイズチェック
次に、発見したターゲットファイルをAESで暗号化し、攻撃者の連絡先メールアドレスが含まれたファイル拡張子「.id[被害者に割り当てられた固有のID].[(削除)@rexsdata.pro].8base」を付け加えます。
2023年11月中頃、私たちは8baseランサムウェアの別バージョン(SHA2: 45de59851d68929632346d6f894dc8c1b6a5c4197db83c2e33c60631efc0b39f)を発見しました。この亜種は、以前に使用されていた.NETではなくCで記述されています。新型の8baseランサムウェア亜種は、暗号化から除外するファイルとフォルダは以前と同じですが、ファイルの暗号化後、.NET版の亜種よりもかなり長文のランサムノートを表示します。ランサムノートには連絡先のメールアドレスと、以前のランサムノートにはなかったTORデータリークサイトのアドレスが記載されています。拡張子も新しくなっており、暗号化されたファイルには「.id[被害者に割り当てられた固有のID].[recovery8files@(削除).org].8base」が追加されます。
図7:11月に発見された8baseランサムウェア亜種が表示したランサムノート
図8:新型の8baseランサムウェア亜種がドロップしたランサムノート(テキストバージョン)
データリークサイト
8baseランサムウェアグループはTORサイトを運営しており、被害者はここで攻撃者と連絡を取ることができます。盗まれた情報は、Gofile、Pixeldrain、files.dp.ua、AnonFiles、Anonym File、Megaなどさまざまなファイルストレージ / 共有サービスを通じて公開されました。
8baseランサムウェアのTORサイトには、被害者リスト、連絡フォーム、FAQ、利用規約が掲載されています。
図9:8baseランサムウェアTORサイトのトップページ
図11:8baseランサムウェアTORサイトのFAQページ
図12:8baseランサムウェアTORサイトのRulesページ
フォーティネットのソリューション
フォーティネットのお客様は、アンチウイルスおよびFortiEDRサービスによって、上記のマルウェアから以下のように保護されています。
FortiGuard Labsは以下のアンチウイルスシグネチャを使用して、8baseランサムウェアサンプルを検知します。
- MSIL/Agent.LVF01F!tr
- MSIL/Agent.MZV!tr.dldr
- MSIL/Agent.OBG!tr
- MSIL/Agent.OXE!tr.dldr
- MSIL/Agent.PJK!tr.dldr
- MSIL/Agent.POB!tr.dldr
- MSIL/Agent.POG!tr.dldr
- MSIL/Agent.POQ!tr.dldr
- MSIL/Agent.PQI!tr.dldr
- MSIL/Agent.PQW!tr.dldr
- MSIL/Agent.PRI!tr.dldr
- MSIL/Agent.PSL!tr.dldr
- MSIL/Generik.BZNYUMT!tr
- MSIL/GenKryptik.GFFH!tr
- MSIL/GenKryptik.GJPU
- MSIL/GenKryptik.GLEY!tr
- MSIL/GenKryptik.GMQR!tr
- MSIL/GenKryptik.GPJK!tr
- MSIL/Kryptik.AJEE!tr
- MSIL/Kryptik.AJJC!tr
- MSIL/Kryptik.AJOO!tr
- MSIL/Kryptik.AJOW!tr.ransom
- MSIL/Kryptik.AJPE!tr
- MSIL/Kryptik.AJPT!tr
- MSIL/Kryptik.AJTY!tr
- MSIL/Kryptik.AJVN!tr
- MSIL/Kryptik.AJWN!tr
- MSIL/Kryptik.AJWZ!tr
- MSIL/Kryptik.BMG!tr
- W32/FilecoderPhobos.C!tr.ransom
- W32/GenKryptik.ERHN!tr
- W32/Kryptik.HTXE!tr
- W32/Kryptik.HUBC!tr
FortiGuardアンチウイルスサービスは、FortiGate、FortiMail、FortiClient、FortiEDRによってサポートされます。最新のアンチウイルスアップデートを使用しているフォーティネットEPPのお客様は、脅威から保護されています。
IOC(Indicators of Compromise:侵害指標)
8baseランサムウェアのファイルIOC
SHA2 |
30e90f33067608e8e7f4d57fd6903adb5eccb91bf426c56569c16bf86f0d8971 |
45de59851d68929632346d6f894dc8c1b6a5c4197db83c2e33c60631efc0b39f |
b3725e7f3a53ea398fd0136e63c9c11d8c1addc778eece2ce1ac2ca2fc9cd238 |
c83894f6f01a0d4a492c2e05966816e27dac6b9093f83b499b6a5b2f28b53cec |
4e4c154f0500990e897ca9650eafd3c6255ba4df3b4bc620c6ba27b718278392 |
159fa561bf9069418c5b2a33525ee12b16385f96680890a285d401b9f6781643 |
7e18ff461e3fc159c9b6634c9250600ea4c62da604885697c95d9bac794109b8 |
482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52 |
49699985414185b85cdf0a0292dfd1fb0e7b0b4925daa165351efed6e348335a |
2cfd30a7982b90be60f83fe5f4132999ac50d0d63d9681d8d50c3c8271faa34b |
8f60d17bbaefd66fe94d34ea3262a1e94b0f8f0702c437d19d3e292c72f1cedc |
274c6ea98df4de5fc99661b0af876c3556c8a9125697efa3cbdc6fa81b80395d |
427ac2bb816309c11b12c895787c862017d5725ed7de137b5eb10c03e89c0b8c |
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
3d805293a70df3a5e1e392ee05ed7b88eda054ee97072eac5590baecfc44cb74 |
88f6a6455f92255a189526e36aeb581c95c28dc5e26357e7667f871444a336ba |
fa620f37539b2c7e53d4c06de1b680d0eab5c3a5280b89d1700e014bfd320519 |
b3e80316dc1e01af60bcea7218ab5ebfe81432643d29ab46b22e3b11658606d5 |
03666df8dd1cd6f9e05e28a0660223d514351e05a8c61179f59e9e2c5e10d471 |
4fd3f6a16bccb7c9d4631241b6f8ebe58515fa2c593e4c938939492615869432 |
8c46f85644793051b8966d2edeeccdb8416aa04289dc0803d8da90fe6c98014c |
abc4e3744b5a6b6ca367b81dabc9ff13d509d0bb5b4be6daa7d5419c57e5ea4b |
2a270618cf65fcfb6476269b7c7bdbae84552d15a3da3e8907425e20ace4548a |
01b2ec8085dace807c190f3f26d5e5ce45be0c0ecbd9c944303a36f323272226 |
d7cb8a2d60e1818d0638a4c38cd6fae475dc83ab7b2bde9827ecc4e4a7ce6ed7 |
0c0bdd6f7e780b5bde33342e142af12d0d3b2ae40e6d5ab48a4fde3e32751a75 |
f5d99d4548470b4699b215453e9be29e48aa20616d45f704c335bd3bbe3e0a4f |
f595f91a9966808cc85d11981e66e98043af9aeaaaa3893ef058b9a79c474f17 |
aedbddbf7494baaaf759a720d9cd17540d3c171b9cc52a02e0ef9a592bd9cd63 |
698b2a9cf9ce16f1cb5cff4576e902888cb14db7414b8e6ac4eb728f8c87d209 |
9f67b6057e5b5dc4b2ec3b370ca3062e0bed91a934b227911af2a3de17164ee5 |
2673be0eb2cc75805d67cc5876b98cbbe330c73a223be23fb3b41eb447ccd1c9 |
3a6cfcbf9ef082d94b7a8a0050f42761e115aa3b6ff26edb6c7daf4437fe9917 |
0867a5d4559cb7084765944e5ab71c67629e90a5fa15e66b7b3d47059c76cb78 |
33c861023479ddcaea82f2daee9d0394f304d0c33ba210f4c3c53a93cf9a474c |
71bd706cc0ace3774449282a9c1de5403f8f43dad118b9fbf4fc45cf4894f8e9 |
bcdf23bb2e1635cb6639895094f7115af7bc9d07f276507af291cd9b7124e135 |
a1ee84c3183521e345b17502b38621201ff6edb86db81debec25d58dec5ad96c |
667dfdc8b8527599735d93ba94d5e9a30442db7c9e780f103fea07172ee8c740 |
6e591d4815d6e7ec082696f002c843c6d9155e944a99cdd7dab3db372db6a877 |
d26de80e8b561adcf33ab3f2fe29f22c6eaddfbe247dcf9028463214e0f87e90 |
54b3641fc695438be989a08a9dca9f2a5d1ed9d538cb83cb597a17480d580c39 |
eb24adb38f36113fe71f942596c355afd59a2e83a0663daf32ae9bb30059732c |
db85c5455b1adee337cf5b6728a9a4776e3645e50d0bf7ff410e34bb710cc42a |
c68d9dcd8a3038bfe7c6c008149c8792b6033e6249286e4692e16dcb2bd90d41 |
05c29b528fccf8c2793663a6725c9bf680944ffa6a26129d7aaafd1980bd034c |
a31a45f1c686c1ae2ff1733e7e7636a17010b85091b17bdf68c27543866dfca5 |
2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb |
9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c |
91abe280381d0faf55b521f51d16d8aa022f0cc14b1310334d4fffc3474459d4 |
d0604a3864899ac9bf0a07e47330b62a3e76b61335d6dac2e9b5a796b9fcc164 |
d560b84be808a9a324b995a05686237d645248369ce04069350d5b5d979d8365 |
fd59543a425d2159dfadba8efd4d40178b609ef123a8bc5cf00fe3afef95623d |
25d4ec23c3618c7bdbef717c9ded9f7da560b3eb13d8d20f958fe3fbe5a1e37b |
97a4d094f86b757b3fb0e189f2843a7af8d0ec43f9805214e89992528e83b5d7 |
f709d1f84e4f0a845ebb4a9fb1500aa2a9fd600e97cbea32ffc3e49c1084f467 |
a8d2d0ceaaf6685644b228a767ea6299ea2968f7cae79dd36abf4225b8593fdd |
8879a7a950a3916f5438685f994ee829a20e4c60021db73060cd078e4a72b5a7 |
c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763 |
fa7ed15708d988e7f69b5628db9481816052efea29e93f1bd274a1d76006aee6 |
790b64a5860a5069fedcb660efdffce2b5ab2195086100a6079697b662f0c198 |
454f9058a9fd9c266782389850d6142a0d04ce9d8042bc069ccd8d90d60be6d5 |
32d1458fb5c0c08156568a658f30143786336a73dea1d76bef9becf4a55c0964 |
3cb4c0f6430f5216818c3438a18c96e7dcf5080129c9eea3f50735811c3e85eb |
9d163fbffc9692a3143362c51d35d5ab52d1f209d9d5e053196c79a30e6f7acf |
681f180735ec833997bea4eb26c58f9c2e39980cd0a351e0b5cd99c502b33ae8 |
917f2b461c860f2ee8aed1147094b9273931bb9ee8040d609a485ec150dc3ec0 |
9f40b69060a52731107baec84a0c0f8a1bfc1a62e8471b9cd69509aade9cb7f1 |
d4cb20dba15d88c38c35be69fe04538b4f9bb0a12edb51ff23c0171b584edf08 |
f9805be70bc5c750e01a82742a66e6ffa9ade0ba2f80a97cadbb8fcaeb60dda7 |
4b891c6c3520d1d81e083f72d7ee9c92870ac6633f1f8419b2f50b4f90681ed6 |
78732997a6c9d975b97da85fc511533d44083a9f9da60dae8393274a59b7bfce |
e98c033e303e64af465b7d41d779a3780708c97822a6ebb7cf6ff3db64bc3416 |
2a50a42d3c44e6e3890a53228cb84f6fdb17e38b31422c68b8634a06d36cc324 |
104032d8993555a84679746069ad1f8c1365c4a27eaeec732fda76aa62da005a |
96a3909ca8917c14a7bd36839dd5abf5c9df9f69b314158e0110365113acf4bb |
356799503f195db260e08a81d42a431b4ebd47cef94eddc96f24a0fd3e49d716 |
15c9373bc7a1cc990d6caa0f3262f6c4adeff93337f642f752b64947ae50cec9 |
3ec359f6ab125099db4a4f7b6ad6b17ab1411a338be932ea45aea13aad7788c8 |
45dcbfbb139c81af47b6953482c2d146f5192054c29a2343019e6f1d30912ff4 |
6cb41c5e8379cc137f64c91f5aaaf88da43b3d13791f12884bedd5a81a83b8d2 |
505bc570566804139166c0f12ea773d1c459682cc13cfca823b2ddfbd48cd2e2 |
00e6061a54e469f6c957eda96a0267efded5f8a6a8d4006ea74ded74df5eb703 |
32b815ce14e6606e53b1ddaf39900c91f126e1d9ce9c5cab2fe825d6b2fa74d9 |
f909efbae3c83ae64dcd8f57e18be891df6386ca89f3a2f4c40d12ebc1913ef4 |
872ee36c064f5d9e7df3e5495c7de6aba4b26856556ba2ac124cdbb02693aa02 |
52661e5c4f8503541a5f361cfa8e4518f852907365e23fdfcc8472fea67df12b |
408d62cbf4789d9533230eff49b8b45c11b01fd8c8d6d65ec339725d7521a48c |
8113218903975b81b22049796f201e06638595d2f6fadd82da06817bfbce85d7 |
281481eb8f1579206e55232754f47587a61bbe1460fc1f3b06157f31d214a290 |
c447b9a04d36e1a1e8560fc380dec019ec3b63506d07d0116e1ec2c28a9b1c30 |
89c65668def919cdf677df2774c5646540fee498031f7ecd5c7a6be7b62e9953 |
SmokeLoaderのファイルIOC
SHA2 |
bab3c87cac6db1700f0a0babaa31f5cd544961d1b9ec03fd8bcdeff837fc9755 |
ea6adefdd2be00d0c7072a9abe188ba9b0c9a75fa57f13a654caeaaf4c3f5fbc |
FortiGuard Labsのガイダンス
頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII(個人情報)の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。
大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。
FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。
フォーティネットが無償で提供するNSE トレーニング:NSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。
組織はデータバックアップの頻度、場所、およびセキュリティを根本的に見直し、進化を続け急速に拡大するランサムウェアのリスクに効果的に対処しなければなりません。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション(SASEなど)、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ(EDR:エンドポイントの脅威検知とレスポンス、など)、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。
業界をリードする完全統合型のセキュリティ ファブリックは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらし、テクノロジーベースと人材ベースのSECaaS(Security-as-a-srvice)から成る幅広いポートフォリオも提供します。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。
FortiReconはSaaSベースのデジタルリスク保護サービスで、ダークウェブにおける攻撃者の最新の活動や、攻撃者の動機やTTPに関する詳細情報など、サイバーセキュリティのエキスパートが比類ない脅威インテリジェンスを提供しています。このサービスでは、現在進行中の攻撃の証拠を検知できるため、お客様は現行の脅威に素早く対処し、それを遮断することができます。
ベストプラクティスは身代金の支払い拒否
CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター(Internet Crimes Complaint Center:IC3)を通じてランサムウェア攻撃のサンプルを提出することができます。
フォーティネットのサービス
インシデントが検知されると、FortiGuard Labsの緊急インシデントレスポンスサービスが迅速かつ効果的に対応します。フォーティネットのインシデント準備態勢サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト(机上演習)などが含まれます。
一方、FortiReconデジタルリスク保護(DRP)はSaaSベースのサービスで、攻撃者の標的、行動、計画などを表示します。これにより、攻撃を偵察段階で阻止し、その後の減災対策におけるリスク、時間、コストを大幅に削減することができます。
