脅威リサーチ

Ransomware Roundup:BisamwareとChile Locker

投稿者 Shunichi Imano および James Slaughter | 2022年12月27日

FortiGuard Labsは隔週で、OSINTコミュニティおよびフォーティネットのデータセットで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。

この「Ransomware Roundup」最新版では、BisamwareランサムウェアとChile Lockerランサムウェアについて解説します。

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     Microsoft Windowsユーザー
影響:             侵害されたマシンのファイルを暗号化し、ファイルの復号化と引き換えに身代金を要求する
深刻度:            

Bisamwareランサムウェア

BisamwareはWindowsを標的とするランサムウェアで、CVE-2022-30190を悪用するように設計されたMicrosoft Wordファイルを介して配布されると報告されています。この脆弱性はMicrosoftサポート診断ツール(MSDT)に存在し、BisamwareはMSDT URIスキームを悪用して悪質なペイロードをダウンロードして実行します。CVE-2022-30190には「Follina」というニックネームが付けられていますが、これはWordファイルが悪用する脆弱性の参照番号「0438」がイタリアの基礎自治体フォッリーナ(Follina)の市外局番だからです。FortiGuard Labsは、2022年5月末にCVE-2022-30190に関するアウトブレイクアラート脅威シグナルを発行しました。

Bisamwareランサムウェアが実行されると、侵入されたマシンのファイルが暗号化され、影響を受けたファイルにランサムウェア拡張子「.BISAMWARE」が付け加えられます。

図1:Bisamwareによって暗号化されたファイル

マルウェアのコードに明らかなバグが含まれているため、一部のディレクトリ内のファイルはランサムウェアによって暗号化された後も削除されません。

図2:ランサムウェアが暗号化に失敗したファイル

Bisamwareは「SYSTEM=RANSOMWARE=INFECTED.txt」という名前のランサムノート(身代金の宣告)を残し、TORのチャットルームで攻撃者に連絡をとって復号キーを購入するよう被害者に指示します。この記事を書いた時点で、そのTORサイトはアクセス不能になっていました。

図3:Bisamwareランサムウェアが残したランサムノート

Chile Locker

Chile Lockerは最近報告されたランサムウェアです。2022年8月25日にチリ政府のサービスに影響を与えたこの亜種について、チリのCSIRTチームが8月末にアラートを発行しました。この警告にもかかわらず、その後Chile Lockerの亜種が続々とマルウェア検査サイトVirusTotalに提出されました。その提出元は、カナダ、メキシコ、ルーマニア、中国、イギリス、スペイン、ウルグアイ、オランダ、ロシア、ポーランド、マレーシア、米国と多岐にわたりますが、それはこのランサムウェアの攻撃者が特にチリだけを狙ったものではないことを示しています。

Chile Lockerは侵入したマシンのファイルを暗号化し、影響を受けたファイルに拡張子「.crypt」を付け加えます。このランサムウェアは、以下のファイル拡張子を持つファイルは暗号化しません。

  • .blf
  • .regtrans-ms
  • .library-ms
  • .sys
  • .tmp
  • .log
  • .LOG
  • .log.tmp
  • .exe
  • .bat
  • .msi
  • .dll
  • .ini
  • .crypt

また、ランサムノート「readme_for_unlock.txt」をドロップします。フォーティネットはこのランサムウェアにランサムノートを生成させることができませんでしたが、3日以内に攻撃者が運営するTORサイトを使って攻撃者に連絡をとって取引するよう被害者に指示する内容であると伝えられています。このサイトにログインするには、ランサムノートに含まれているパスワードが必要です。

図4:Chile Lockerによって暗号化されたファイル

図5:Chile Lockerランサムウェアのログインページ

このランサムウェアは、影響を受けたマシンにシャドウコピーがある場合はそれもすべて削除して、被害者がファイルを復元できないようにします。

フォーティネットのソリューション

フォーティネットのお客様は、すでにFortiGuardのWebフィルタリング、アンチウイルス、FortiMail、FortiClient、FortiEDRの各サービスによって、これらのマルウェアの亜種から以下のように保護されています。

FortiGuard Labsは、以下のアンチウイルスシグネチャを使って既知のBisamwareランサムウェア亜種を検知します。

  • W64/Bisamware.A!tr.ransom

FortiGuard Labsは、以下のアンチウイルスシグネチャを使って既知のChile Lockerランサムウェア亜種を検知します。

  • W32/Agent.BNQ!tr.ransom
  • W64/Agent.BNQ!tr.ransom
  • BAT/Starter.8E92!tr
  • PossibleThreat.PALLASNET.H

IOC(Indicators of Compromise:侵害指標)

Bisamware

  • 3758900465a0bbb5ce4eab1a5c981a7c35b8334427f606ab722223e2b2dacc73
  • 1dfd69bff31a23a5f3660b9cfbd01bb6ef0ebae8cc3e7ed966fcc5c6a2ee3af4
  • d30080f2fca1d0e8e62aa66bc51dfa96ef8fda1d3ec09eefb9e4afe6cd39e4f4
  • 26ed1ffe74abd8a5f62d4f3b341a62ebb1a04d43e7ab9d64b9d283e184b35fd4

Chile Locker

  • 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
  • ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004
  • 32708c5d376f130b48bf3bd706879c1945a2d701036d94e25aceea41a4042052
  • 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
  • b14cde376a8a7a9d7ad34cdfd07108c132ad8be7f60c5c0a0f17b6b63eb28b49
  • ae8404687906b0d66394f70223660c4981054fed71ad570b2fd45ea663cb3ddc
  • e1f01b2c624f705cb34c5c1b6d84f11b1d9196c610f6f4dd801a287f3192bf76
  • 5634e4e97a71930c574b80e50ee479ab782b6888f5af31c7e7529fa651377f50

FortiGuard Labsのガイダンス

ランサムウェア攻撃が成功すると、混乱、日常業務への悪影響、組織の評判に対する潜在的影響、意図しない個人情報(PII)の破壊 / 漏洩などが生じるため、すべてのアンチウイルスシグネチャとIPSシグネチャを最新の状態に保つことが不可欠です。

大半のマルウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。

フォーティネットの無償のNSEトレーニングNSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。

進化を続け急拡大するランサムウェアのリスクに効果的に対処するには、データバックアップの頻度、場所、およびセキュリティを根本的に見直す必要があります。

デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせれば、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小限に抑えて、ランサムウェア攻撃の影響を軽減するには、クラウドベースのセキュリティソリューションをすべて調査する必要があります。これには、オフネットワークのデバイスを保護するためのSASE、攻撃中のマルウェアを妨害できるEDR(エンドポイントの脅威検知とレスポンス)ソリューションなどの高度なエンドポイントセキュリティ、そしてポリシーとコンテキストに基づいてアプリケーションとリソースへのアクセスを制限できるゼロトラストアクセスおよびネットワークセグメンテーション戦略の活用を是非ご検討ください。

フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS(Security-as-a-Service)の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されるグローバルに展開するFortiGuardチームです。FortiGuardチームは専門知識を提供し、既存のセキュリティチームおよびシステムに存在する検知 / レスポンス / 分析のギャップを埋めます。

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIのRansomware Complaintページでは、被害者がインターネット犯罪苦情センター(IC3)を介してランサムウェア攻撃のサンプルを提出することができます。

影響を受けた場合に役立つフォーティネットのサービス

インシデントが検知されると、FortiGuard Labsの緊急インシデント対応サービスが迅速かつ効果的に対応します。フォーティネットのインシデント対応サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト(机上演習)などが含まれます。