FortiGuard Labs 脅威リサーチ
Ransomware Roundup:Albabat
Article Contents
FortiGuard Labsは隔週で、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。
今回の「Ransomware Roundup」では、Albabatランサムウェアを取り上げていきます。
影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー: Microsoft Windowsユーザー
影響: 被害者のファイルを暗号化し、その復号と引き換えに身代金を要求する
深刻度: 高
Albabatランサムウェアの概要
Albabat(別名White Bat)はRustで記述された金銭目的のランサムウェア亜種で、ユーザーにとって重要なファイルを特定して暗号化し、暗号化の解除と引き換えに身代金を要求します。この亜種は、2023年11月にversion 0.1.0として初めて出現しました。12月末にversion 0.3.0が、続く2024年1月中旬にはversion 0.3.3がリリースされています。
感染経路
Albabatランサムウェアは、偽のWindows 10デジタルアクティベーションツールやCounter-Strike 2の偽造プログラムなど、不正なソフトウェアとして配信されているとみられます。
被害者に関する情報
Albabatランサムウェアサンプルは公開のファイルスキャンサービスに提出されており、アルゼンチン、ブラジル、チェコ共和国、ドイツ、ハンガリー、カザフスタン、ロシア、米国の企業や個人を主な標的にしているようです。ただし、このランサムウェアは偽のソフトウェアとして配信されているため、誰もがその影響を受ける可能性があります。
攻撃手法
Albabatランサムウェアは実行されると、暗号化するファイルを探します。以下のファイルタイプは暗号化されません。
N2PK |
abbt |
arc |
arz |
bik |
bin |
bk2 |
cab |
cat |
cur |
dat |
desktop |
dll |
inf |
ini |
lib |
lnk |
log |
mp2 |
msi |
nfo |
otf |
pdb |
pkg |
pkr |
pyd |
qt |
resource |
sfx |
sig |
so |
swf |
tcl |
tmp |
ttf |
url |
vc |
vdf |
vfont |
vpk |
whl |
win |
wma |
woff |
woff2 |
xnb |
|
|
|
|
version 0.3.0と0.3.3では、以下のファイルタイプも暗号化から除外されます。
CHK |
_pth |
cmd |
com |
icls |
ico |
idx |
mod |
mp3 |
ogg |
pickle |
src |
theme |
vhdx |
vscdb |
~$ |
dic |
lock |
mui |
pyc |
smc |
srm |
|
|
|
薄緑色で示されたファイルタイプはversion 0.3.0で除外されるファイルです。黄色で示されたファイルタイプは、version 0.3.3で除外対象に追加されたファイルです。
Albabatランサムウェアは、暗号化したファイルに拡張子「.abbt」を付け加えます。
さらに、デスクトップの壁紙を独自のものに変更します。
Albabatランサムウェアの壁紙には、WindowsおよびLinuxプラットフォームをサポートしていることが記されています。しかし、今のところLinuxのサンプルは特定できていません。このランサムウェアは、1つのオペレーティングシステムから別のオペレーティングシステムにクロスコンパイルできるRust言語で記述されているため、Linuxバージョンは今後リリースされるかもしれません。
version 0.1.0はChrome.exeの終了を試みます。version 0.3.0以降では、終了する対象として以下のプロセスが追加されました。
taskmgr.exe |
code.exe |
excel.exe |
powerpnt.exe |
winword.exe |
msaccess.exe |
mspub.exe |
chrome.exe |
cs2.exe (the game Counter Strike 2) |
steam.exe |
onedrive.exe |
postgres.exe |
mysqlworkbench.exe |
outlook.exe |
windowsterminal.exe |
sublime_text.exe |
version 0.3.0以降は以下のサービスも停止します。
MySQL57 |
MySQL80 |
MySQL82 |
postgresql-x64-14 |
postgresql-x64-15 |
|
|
|
version 0.3.0以降は、以下のファイルを窃取または改ざんする可能性があります。
AppData\Roaming\Electrum\wallets |
AppData\Roaming\JetBrains |
AppData\Local\Microsoft\OneDrive |
C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\game\csgo\cfg |
D:\Games\steamapps\common\Counter-Strike Global Offensive\game\csgo\cfg |
D:\Steam\steamapps\common\Counter-Strike Global Offensive\game\csgo\cfg |
version 0.3.3は特定のサイトへのアクセスをブロックするために、以下のエントリをWindows Hostsファイルに追加します。
- 127[.]0[.]0[.]1 malware-guide[.]com
- 127[.]0[.]0[.]1 www[.]pcrisk[.]pt
- 127[.]0[.]0[.]1 www[.]pcrisk[.]com
- 127[.]0[.]0[.]1 adware[.]guru
- 127[.]0[.]0[.]1 www[.]cyclonis[.]com
- 127[.]0[.]0[.]1 jp[.]broadcom[.]com
- 127[.]0[.]0[.]1 www[.]broadcom[.]com
- 127[.]0[.]0[.]1 www[.]enigmasoftware[.]com
- 127[.]0[.]0[.]1 howtofix[.]guide
- 127[.]0[.]0[.]1 easysolvemalware[.]com
- 127[.]0[.]0[.]1 bbs[.]360[.]cn
- 127[.]0[.]0[.]1 pcsafetygeek[.]com
- 127[.]0[.]0[.]1 tria[.]ge
暗号化プロセスが終了すると、Albabatは以下のファイルをドロップします。
Version 0.1.0
- %USERPROFILE%\Albabat\Albabat.ekey
- %USERPROFILE%\Albabat\Albabat.log
- %USERPROFILE%\Albabat\README.html
- %USERPROFILE%\Albabat\wallpaper_albabat.jpg
- %USERPROFILE%\Albabat\www\banner.jpg
- %USERPROFILE%\Albabat\www\faq.html
- %USERPROFILE%\Albabat\www\script.js
- %USERPROFILE%\Albabat\www\style.css
Version 0.3.0
- %USERPROFILE%\Albabat\Albabat.ekey
- %USERPROFILE%\Albabat\Albabat_Logs.log
- %USERPROFILE%\Albabat\personal_id.txt
- %USERPROFILE%\Albabat\wallpaper_albabat.jpg
- %USERPROFILE%Albabat\readme\README.html
- %USERPROFILE%Albabat\readme\assets\style.css
- %USERPROFILE%Albabat\readme\assets\script.js
- %USERPROFILE%Albabat\readme\assets\banner.jpg
- %USERPROFILE%Albabat\readme\pages\faq.html
Version 0.3.3
- %USERPROFILE%\Albabat\Albabat.ekey
- %USERPROFILE%\Albabat\credits.txt
- %USERPROFILE%\Albabat\Encryption_DBG.log
- %USERPROFILE%\Albabat\personal_id.txt
- %USERPROFILE%\Albabat\wallpaper_albabat.jpg
- %USERPROFILE%\Albabat\readme\README.html
- %USERPROFILE%\Albabat\assets\banner.jpg
- %USERPROFILE%\Albabat\assets\script.js
- %USERPROFILE%\Albabat\assets\style.css
- %USERPROFILE%\Albabat\pages\faq.html
README.htmlファイルはランサムノートであり、被害者に対してEメールを攻撃者に送信するよう指示しています。このランサムノートは、ファイルの復号と引き換えに0.0015ビットコイン(約64ドル)を要求しています。フォーマットを除けば、version 0.1.0、0.3.0、0.3.3がドロップしたランサムノートは内容が大きく異なります。
ランサムノートにはGoogle Translateサービスを使用した翻訳オプションがあり、ランサムノートを100以上の言語に翻訳できます。この翻訳オプションが選択されると、翻訳言語としてポルトガル語が自動的に選択されます。これは、ランサムウェア開発者の主要言語がポルトガル語である可能性を示唆しています。
FortiGuard Labsのテスト環境では、ランサムノートにあるとおり、5 MBを超えるファイルは暗号化されませんでした。
FAQオプションを選択するとFAQ.htmlが開きます。version 0.3.0で追加された「アイテム10」を除き、バージョン間でFAQの内容に大きな違いはありません。
我々の調査時点で、攻撃者のビットコインウォレットでの取引は確認されませんでした。
データリークサイト
Albabatランサムウェアサンプルのうちの一つは、被害者にTORサイトへのアクセスを指示していますが、このサイトは調査時点でアクセス不能になっていました。ランサムノートでデータの流出に言及していないことから、TORサイトは身代金交渉のみに使用されていた可能性があります。
フォーティネットのソリューション
フォーティネットのお客様は、アンチウイルスおよびFortiEDRサービスによって、上記のマルウェアから以下のように保護されています。
FortiGuard Labsは以下のアンチウイルスシグネチャを使用して、Albabatランサムウェアサンプルを検知します。
- W32/PossibleThreat
FortiGuardアンチウイルスサービスは、FortiGate、FortiMail、FortiClient、FortiEDRによってサポートされます。最新のアンチウイルスアップデートを使用しているフォーティネットEPPのお客様は、脅威から保護されています。
IOC(Indicators of Compromise:侵害指標)
AlbabatランサムウェアのファイルIOC
SHA2 |
e1c399c29b9379f9d1d3f17822d4496fce8a5123f57b33f00150f287740049e9 |
ce5c3ec17ce277b50771d0604f562fd491582a5a8b05bb35089fe466c67eef54 |
483e0e32d3be3d2e585463aa7475c8b8ce254900bacfb9a546a5318fff024b74 |
614a7f4e0044ed93208cbd4a5ab6916695e92ace392bc352415b24fe5b2d535c |
bfb8247e97f5fd8f9d3ee33832fe29f934a09f91266f01a5fed27a3cc96f8fbb |
FortiGuard Labsのガイダンス
頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII(個人情報)の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。
大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。
FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。
フォーティネットのFortinet Certified Fundamentals(FCF)は、無料でご利用いただけるサイバーセキュリティトレーニングです。このトレーニングは、エンドユーザーが今日の脅威情勢を認識し、基本的なサイバーセキュリティの概念と技術を習得することを目的としています。
組織はデータバックアップの頻度、場所、およびセキュリティを根本的に見直し、進化を続け急速に拡大するランサムウェアのリスクに効果的に対処しなければなりません。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション(SASEなど)、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ(EDR:エンドポイントの脅威検知とレスポンス、など)、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。
業界をリードする完全統合型のセキュリティ ファブリックは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらし、テクノロジーベースと人材ベースのSECaaS(Security-as-a-srvice)から成る幅広いポートフォリオも提供します。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。
FortiReconはSaaSベースのデジタルリスク保護サービスで、ダークウェブにおける攻撃者の最新の活動や、攻撃者の動機やTTPに関する詳細情報など、サイバーセキュリティのエキスパートが比類ない脅威インテリジェンスを提供しています。このサービスでは、現在進行中の攻撃の証拠を検知できるため、お客様は現行の脅威に素早く対処し、それを遮断することができます。
ベストプラクティスは身代金の支払い拒否
CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター(Internet Crimes Complaint Center:IC3)を通じてランサムウェア攻撃のサンプルを提出することができます。
フォーティネットのサービス
インシデントが検知されると、FortiGuard Labsの緊急インシデントレスポンスサービスが迅速かつ効果的に対応します。フォーティネットのインシデント準備態勢サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト(机上演習)などが含まれます。
一方、FortiReconデジタルリスク保護(DRP)はSaaSベースのサービスで、攻撃者の標的、行動、計画などを表示します。これにより、攻撃を偵察段階で阻止し、その後の減災対策におけるリスク、時間、コストを大幅に削減することができます。
