FortiGuard Labs 脅威リサーチ
Ransomware Roundup:Abyss Locker
Article Contents
FortiGuard Labsは隔週で、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。
今回の「Ransomware Roundup」では、Abyss Locker(AbyssLocker)ランサムウェアを取り上げていきます。
影響を受けるプラットフォーム: Microsoft Windows、Linux
影響を受けるユーザー: Microsoft WindowsおよびLinuxユーザー
影響: 被害者のファイルを盗み出して暗号化し、ファイルの復号や窃取したデータの非公開を条件に身代金を要求する
深刻度: 高
Abyss Lockerランサムウェアの概要
Abyss Lockerのサンプルが公共のファイルスキャンサービスに初めて提出されたのは、2023年7月でした。しかし、このランサムウェアはHelloKittyランサムウェアのソースコードを基盤にしていることから、最初の亜種はそれよりも前に出現していた可能性があります。2024年1月初旬、Windowsシステムを標的にしたAbyss Lockerランサムウェア亜種のversion 1が発見され、続く同月後半にはWindows版のversion 2が確認されました(Linux版のversion 1は特定できませんでした)。今週のRoundupでは、Linux版とWindows版の両方の亜種を検証します。
Abyss Lockerの攻撃者は、被害者のデータを盗み出した後、ファイルを暗号化するためにマルウェアを配信し実行します。Abyss Lockerは、ボリュームのシャドウコピーやシステムのバックアップを削除することもできます。
感染経路
Abyss Lockerランサムウェアの攻撃者が使用する感染経路ついては、現時点で情報を入手できていません。しかし、他のランサムウェアグループと大きな違いはなさそうです。
被害者に関する情報
公共のファイルスキャンサービスには、欧州、北米、南米、アジアなどさまざまな地域からAbyss Lockerランサムウェアのサンプルが提出されています。
攻撃手法
Windows版
Windows版のAbyss Lockerランサムウェアversion 1は、次のアクションを実行します。
以下のサービスを停止します。
MSSQLServerADHelper100 |
MSSQL$ISARS |
MSSQL$MSFW |
SQLAgent$ISARS |
SQLAgent$MSFW |
SQLBrowser |
ReportServer$ISARS |
SQLWriter |
WinDefend |
mr2kserv |
MSExchangeADTopology |
MSExchangeFBA |
MSExchangeIS |
MSExchangeSA |
ShadowProtectSvc |
SPAdminV4 |
SPTimerV4 |
SPTraceV4 |
SPUserCodeV4 |
SPWriterV4 |
SPSearch4 |
IISADMIN |
firebirdguardiandefaultinstance |
ibmiasrw |
QBCFMonitorService |
QBVSS |
QBPOSDBServiceV12 |
IBM Domino Server (CProgramFilesIBMDominodata) |
IBM Domino Diagnostics (CProgramFilesIBMDomino) |
Simply Accounting Database Connection Manager |
QuickBooksDB1 |
QuickBooksDB2 |
QuickBooksDB3 |
QuickBooksDB4 |
QuickBooksDB5wrapper |
DefWatch |
ccEvtMgr |
ccSetMgr |
SavRoam |
Sqlservr |
sqlagent |
sqladhlp |
Culserver |
RTVscan |
sqlbrowser |
SQLADHLP |
QBIDPService |
Intuit.QuickBooks.FCS |
msmdsrv |
tomcat6 |
zhudongfangyu |
vmware - usbarbitator64 |
vmware - converter |
dbsrv12 |
dbeng8 |
MSSQL$MICROSOFT##WID |
MSSQL$VEEAMSQL2012 |
SQLAgent$VEEAMSQL2012 |
FishbowlMySQ |
MySQL57 |
MSSQL$KAV_CS_ADMIN_KIT |
SQLAgent$KAV_CS_ADMIN_KIT |
msftesql - Exchange |
MSSQL$MICROSOFT##SSEE |
MSSQL$SBSMONITORING |
MSSQL$SHAREPOINT |
MSSQLFDLauncher$SBSMONITORING |
MSSQLFDLauncher$SHAREPOINT |
SQLAgent$SBSMONITORING |
SQLAgent$SHAREPOINT |
QBFCService |
YooBackup |
YooIT |
svc$ |
MSSQL |
MSSQL$ |
memtas |
mepocs |
sophos |
veeam |
backup |
bedbg |
PDVFSService |
BackupExecVSSProvider |
BackupExecAgentAccelerator |
BackupExecAgentBrowser |
BackupExecDiveciMediaService |
BackupExecJobEngine |
BackupExecManagementService |
BackupExecRPCService |
MVArmor |
MVarmor64 |
stc_raw_agent |
VSNAPVSS |
VeeamTransportSvc |
VeeamDeploymentService |
VeeamNFSSvc |
AcronisAgent |
ARSM |
AcrSch2Svc |
CASAD2DWebSvc |
CAARCUpdateSvc |
WSBExchange |
MSExchange |
MSExchange$ |
GxVss |
GxBlr |
GxFWD |
GxCVD |
GxCIMgr |
|
|
その後、以下のプロセスを終了します。
360doctor.exe |
360se.exe |
ADExplorer.exe |
ADExplorer64.exe |
ADExplorer64a.exe |
Adobe CEF.exe |
Adobe Desktop Service.exe |
AdobeCollabSync.exe |
AdobeIPCBroker.exe |
AutodeskDesktopApp.exe |
Autoruns.exe |
Autoruns64.exe |
Autoruns64a.exe |
Autorunsc.exe |
Autorunsc64.exe |
Autorunsc64a.exe |
AvastUI.exe |
BrCcUxSys.exe |
BrCtrlCntr.exe |
CNTAoSMgr.exe |
CagService.exe |
CoreSync.exe |
Creative Cloud.exe |
Culture.exe |
Defwatch.exe |
DellSystemDetect.exe |
EnterpriseClient.exe |
GDscan.exe |
GWCtlSrv.exe |
GlassWire.exe |
Helper.exe |
InputPersonalization.exe |
MsDtSrvr.exe |
MsDtsSrvr.exe |
MsMpEng.exe |
ONENOTEM.exe |
PccNTMon.exe |
ProcessHacker.exe |
Procexp.exe |
Procexp64.exe |
QBDBMgr.exe |
QBDBMgrN.exe |
QBIDPService.exe |
QBW32.exe |
RAgui.exe |
RTVscan.exe |
Raccine.exe |
RaccineElevatedCfg.exe |
RaccineSettings.exe |
Raccine_x86.exe |
RdrCEF.exe |
ReportingServicesService.exe |
SQLAGENT.EXE |
Simply.SystemTrayIcon.exe |
SimplyConnectionManager.exe |
Sqlservr.exe, Ssms.exe |
Sysmon.exe |
Sysmon64.exe |
SystemExplorer.exe |
SystemExplorerService.exe |
SystemExplorerService64.exe |
TMBMSRV.exe |
TeamViewer.exe |
TeamViewer_Service.exe |
TitanV, Ssms.exe |
TmCCSF.exe |
TmListen.exe |
TmPfw.exe |
TmProxy.exe |
Totalcmd.exe |
Totalcmd64.exe |
VeeamDeploymentSvc.exe |
WRSA.exe |
WireShark.exe |
ZhuDongFangYu.exe |
acwebbrowser.exe |
agntsvc.exe |
avp.exe |
avz.exe |
axlbridge.exe |
bedbh.exe |
benetns.exe |
bengien.exe |
beserver.exe |
dbeng50.exe |
dbsnmp.exe |
dumpcap.exe |
egui.exe |
encsvc.exe |
excel.exe |
fbguard.exe |
fbserver.exe |
fdhost.exe |
fdlauncher.exe |
firefox.exe |
httpd.exe |
infopath.exe |
isqlplussvc.exe |
j0gnjko1.exe |
java.exe |
msaccess.exe |
msftesql.exe |
msmdsrv.exe |
mspub.exe |
mydesktopqos.exe |
mydesktopservice.exe |
mysqld.exe |
node.exe |
notepad++.exe |
notepad.exe |
ntrtscan.exe |
ocautoupds.exe |
ocomm.exe |
ocssd.exe |
onenote.exe |
oracle.exe |
outlook.exe |
pg_ctl.exe |
postgres.exe |
powerpnt.exe |
procexp64a.exe |
mon.exe |
proc, procmon64.exe |
procmon64a.exe |
pvlsvr.exe |
qbupdate.exe |
raw_agent_svc.exe |
sam.exe |
sqbcoreservice.exe |
sql.exe |
sqlbrowser.exe |
sqlceip.exe |
sqlmangr.exe |
sqlservr.exe |
sqlwriter.exe |
steam.exe |
supervise.exe |
synctime.exe |
tbirdconfig.exe |
tcpview.exe |
tcpview64.exe |
tcpview64a.exe |
tdsskiller.exe |
thebat.exe |
thunderbird.exe |
tomcat6.exe |
tv_w32.exe |
tv_x64.exe |
visio.exe |
vsnapvss.exe |
vxmon.exe |
wdswfsafe.exe |
winword.exe |
wordpad.exe |
wsa_service.exe |
wxServer.exe |
wxServerView.exe |
xfssvccon.exe |
|
|
以下のコマンドを使用してボリュームシャドウコピーを削除します。
- vssadmin.exe delete shadows /all /quiet
- wmic SHADOWCOPY DELETE
以下のコマンドを実行してブートステータスのポリシーを設定します。
- bcdedit / set{ default } recoveryenabled No
(Disable Automatic Repair) - bcdedit / set{ default } bootstatuspolicy IgnoreAllFailures
(Ignore all boot failures and start Windows normally)
Abyss Lockerランサムウェアは、侵害されたマシン上のファイルを暗号化し、それらのファイルに拡張子「.abyss」を付け加えます。Windows版Abyss Locker version 1の亜種は、「.abyss」ではなくランダムな5文字の拡張子を追加します。
Abyss Lockerランサムウェアは「WhatHappened.txt」というランサムノートをドロップします。
身代金の交渉に使われたTORサイトは、FortiGuard Labsの調査時点でアクセス不能になっていました。
Abyss Lockerはこの後、デスクトップの壁紙を独自のものに置き換えます。そこには身代金に関する以下のメッセージが記載されています。
ただし、Abyss Lockerランサムウェアには、次のようなファイル暗号化の例外が設けられています。
以下の拡張子が付いたファイルは暗号化されません。
.Abyss |
.386 |
.cmd |
.ani |
.adv |
.msi |
.msp |
.com |
.nls |
.ocx |
.mpa |
.cpl |
.mod |
.hta |
.prf |
.rtp |
.rpd |
.bin |
.hlp |
.shs |
.drv |
.wpx |
.bat |
.rom |
.msc |
.spl |
.msu |
.ics |
.key |
.exe |
.dllv |
.lnk |
.icov |
.sys |
.cur |
.idx |
.ini |
.reg |
.mp3 |
.mp4 |
.apk |
.ttf |
.otf |
.fon |
.fnt |
.dmp |
.tmp |
.pif |
.wav |
.wma |
.dmg |
.iso |
.app |
.ipa |
.xex |
.wad |
.icns |
.lock |
.theme |
.diagcfg |
.blf |
.diagcab |
.diagpkg |
.msstyles |
.gadget |
.woff |
.part |
.sfcache |
.winmd |
|
|
|
以下のファイルも暗号化から除外されます。
work.log |
autorun.inf |
boot.ini |
bootfont.bin |
bootsect.bak |
bootmgr |
bootmgr.efi |
bootmgfw.efi |
desktop.ini |
iconcache.db |
ntldr |
ntuser |
dat |
ntuser.dat.log |
ntuser.ini |
thumbs.db |
!CryptoLockerDetectionDONT-DELETE!.jpg |
WhatHappened.txt |
|
|
以下のフォルダ内にあるファイルも暗号化されません。
Boot |
Windows |
Windows.old |
$Windows.~bt |
$windows.~ws |
windows nt |
msbuild |
microsoft |
perflog |
Microsoft – Cloud |
Computers |
Apps & Gaming |
microsoft shared |
common files |
windows defender |
windowspowershell |
windows security |
usoshared |
windowsapp |
windows journal |
windows photo viewer |
$Recycle.Bin |
All Users |
Program Files |
Program Files (x86) |
system volume information |
msocache |
Tor Browser |
Internet Explorer |
Opera |
Opera Software |
|
Mozilla |
Mozilla Firefox |
#recycle |
|
2024年1月後半に出現したAbyss Lockerランサムウェアversion 2を分析したところ、機能面でversion 1と異なる点はありませんでした。確認された唯一の違いは、身代金に関するメッセージです(置き換えられた壁紙のメッセージを含む)。そこには、このランサムウェアがversion 2であることと、身代金交渉に使用するTORアドレスが明記されています。
version 2で身代金の交渉に使われたTORサイトは、我々の調査時点でもアクセス可能でした。
Linux版
Linux版のAbyss Lockerランサムウェア亜種は、以下の実行コマンドを使用します。
- esxcli vm process list
-(実行中のVMのリストを取得する) - esxcli vm process kill -t=soft -w=[ID of VM]
-(VMを正常終了する) - esxcli vm process kill -t=hard -w=[ID of VM]
-(上記のコマンドが失敗した場合、ただちにVMを停止する) - esxcli vm process kill -t=force -w=[ID of VM]
-(上記のコマンドが失敗した場合、最終手段としてVMを強制終了する)
次に、侵害されたマシン上のファイルを暗号化し、それらのファイルに拡張子「.crypt」を付け加えます。
続いて、拡張子「.README_TO_RESTORE」の付いたファイルを作成します。これはランサムノートです。
図5:Linux版Abyss Lockerランサムウェアがドロップしたランサムノート
以下のディレクトリ内にあるファイルは暗号化されません。
/boot |
/dev |
/etc |
/lost+found |
/proc |
/run |
/usr/bin |
/usr/include |
/usr/lib |
/usr/lib32 |
/usr/lib64 |
/usr/sbin |
/sys |
/usr/libexec |
/usr/share |
/var/lib |
以下の拡張子が付いたファイルも暗号化されません。
.vmdk |
.vmsd |
.vmsn |
.crypt |
.README_TO_RESTORE |
.tmp |
.a |
.so |
.la |
|
|
|
データリークサイト
Abyss Lockerランサムウェアの攻撃者は現在のところ、被害者の氏名を公表し、窃取したデータを他人が閲覧できるようにするTORサイトは使用していないようです(ただし、そうしたリークサイトについては、2023年中頃にBleepingComputerが報告しています)。しかし、身代金の交渉はTORサイトで行っています。
企業に対しては低額、消費者に対しては高額(この場合は282,380ドル)の身代金が設定されているため、標的が誰であるかを判断するのは困難です。
フォーティネットのソリューション
FortiGuardアンチウイルスは、このレポートで解説したAbyss Lockerランサムウェアを、以下の不正プログラムとして検知しブロックします。
- W64/Rook.B!tr.ransom
- W64/Filecoder_Rook.B!tr
- W64/Filecoder_Rook.B!tr.ransom
- Linux/Filecoder_HelloKitty.A!tr
FortiGate、FortiMail、FortiClient、FortiEDRは、FortiGuardアンチウイルスサービスをサポートしています。これらの各ソリューションには、FortiGuardアンチウイルスエンジンが含まれています。したがって、最新の保護機能を備えたこれらの製品をお使いのお客様は、脅威から保護されています。
IOC(Indicators of Compromise:侵害指標)
Abyss LockerランサムウェアのファイルIOC
SHA2 |
注 |
72310e31280b7e90ebc9a32cb33674060a3587663c0334daef76c2ae2cc2a462 |
Abyss Locker v2 (Linux) |
3fd080ef4cc5fbf8bf0e8736af00af973d5e41c105b4cd69522a0a3c34c96b6d |
Abyss Locker v2 (Windows) |
9243bdcbe30fbd430a841a623e9e1bcc894e4fdc136d46e702a94dad4b10dfdc |
Abyss Locker v1 (Windows) |
0763e887924f6c7afad58e7675ecfe34ab615f4bd8f569759b1c33f0b6d08c64 |
Abyss Locker v1 (Windows) |
dee2af08e1f5bb89e7bad79fae5c39c71ff089083d65da1c03c7a4c051fabae0 |
Abyss Locker v1 (Windows) |
e6537d30d66727c5a306dc291f02ceb9d2b48bffe89dd5eff7aa2d22e28b6d7c |
Abyss Locker v1 (Windows) |
1d04d9a8eeed0e1371afed06dcc7300c7b8ca341fe2d4d777191a26dabac3596 |
Abyss Locker v1 (Windows) |
1a31b8e23ccc7933c442d88523210c89cebd2c199d9ebb88b3d16eacbefe4120 |
Abyss Locker v1 (Windows) |
25ce2fec4cd164a93dee5d00ab547ebe47a4b713cced567ab9aca4a7080afcb7 |
Abyss Locker v1 (Windows) |
b524773160f3cb3bfb96e7704ef31a986a179395d40a578edce8257862cafe5f |
Abyss Locker v1 (Windows) |
362a16c5e86f13700bdf2d58f6c0ab26e289b6a5c10ad2769f3412ec0b2da711 |
Abyss Locker v1 (Windows) |
e5417c7a24aa6f952170e9dfcfdf044c2a7259a03a7683c3ddb72512ad0cd5c7 |
Abyss Locker v1 (Windows) |
056220ff4204783d8cc8e596b3fc463a2e6b130db08ec923f17c9a78aa2032da |
Abyss Locker v1 (Windows) |
877c8a1c391e21727b2cdb2f87c7b0b37fb7be1d8dd2d941f5c20b30eb65ee97 |
Abyss Locker v1 (Windows) |
2e42b9ded573e97c095e45dad0bdd2a2d6a0a99e4f7242695054217e2bba6829 |
Abyss Locker v1 (Windows) |
FortiGuard Labsのガイダンス
頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII(個人情報)の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。
大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。
FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。
フォーティネットのFortinet Certified Fundamentals(FCF)は、無料でご利用いただけるサイバーセキュリティトレーニングです。このトレーニングは、エンドユーザーが今日の脅威情勢を認識し、基本的なサイバーセキュリティの概念と技術を習得することを目的としています。
組織はデータバックアップの頻度、場所、およびセキュリティを根本的に見直し、進化を続け急速に拡大するランサムウェアのリスクに効果的に対処しなければなりません。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション(SASEなど)、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ(EDR:エンドポイントの脅威検知とレスポンス、など)、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。
業界をリードする完全統合型のセキュリティ ファブリックは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらし、テクノロジーベースと人材ベースのSECaaS(Security-as-a-srvice)から成る幅広いポートフォリオも提供します。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。
FortiReconはSaaSベースのデジタルリスク保護サービスで、ダークウェブにおける攻撃者の最新の活動や、攻撃者の動機やTTPに関する詳細情報など、サイバーセキュリティのエキスパートが比類ない脅威インテリジェンスを提供しています。このサービスでは、現在進行中の攻撃の証拠を検知できるため、お客様は現行の脅威に素早く対処し、それを遮断することができます。
ベストプラクティスは身代金の支払い拒否
CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター(Internet Crimes Complaint Center:IC3)を通じてランサムウェア攻撃のサンプルを提出することができます。
フォーティネットのサービス
インシデントが検知されると、FortiGuard Labsの緊急インシデントレスポンスサービスが迅速かつ効果的に対応します。フォーティネットのインシデント準備態勢サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト(机上演習)などが含まれます。
一方、FortiReconデジタルリスク保護(DRP)はSaaSベースのサービスで、攻撃者の標的、行動、計画などを表示します。これにより、攻撃を偵察段階で阻止し、その後の減災対策におけるリスク、時間、コストを大幅に削減することができます。
