脅威リサーチ

Ransomware Roundup:Gwisin、Kriptor、Cuba、その他のランサムウェア

投稿者 Shunichi Imano および James Slaughter | 2022年9月29日

本記事は、日本向けに一部コメントを追記したものです。

今やランサムウェアは、サイバー犯罪市場における主要な戦略であり、メジャーなサイバー犯罪ビジネスプランのコアコンピタンスです。そのグループや特徴は多種多様で、攻撃者の得意とする戦術でターゲットシステムの脆弱性を執拗に狙ってきます。SOC(Security Operation Center)やインシデントレスポンスチームに携わる場合、数多くある彼らの戦術や特徴を知ることは、被害の事実と影響をいち早く把握するためにも重要です。Fortinetが発見し、いま現在活発に活動しているランサムウェアグループの動向について、以下のレポートをお読みいただき日々のセキュリティオペレーションにぜひお役立てください。

FortiGuard Labsは隔週で、OSINTコミュニティおよび弊社のデータセットで活発化しているランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアについて簡潔で実用的なインテリジェンスを読者に提供し、ランサムウェア亜種を防御するためのフォーティネットのソリューションを紹介することを目的としています。

この「Ransomware Roundup」最新版では、DarkyLock、Gwisin、vvyu、Kriptor、およびCubaランサムウェアファミリーについて解説します。

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     Microsoft Windowsユーザー
影響:             侵入したマシンのファイルを暗号化し、ファイルの復号と引きかえに身代金要求する。
深刻度:            

DarkyLockランサムウェア

DarkyLockはBabukの亜種で、2022年に初めて出現したとみられています。DarkyLockが被害者のシステム上で実行されると、ファイルが暗号化され、ファイル拡張子が「.darky」に変更されます。

図1:DarkyLockランサムウェアによって暗号化されたファイル

ファイルが暗号化された場所には、「Restore-My-Files.txt」というファイルに格納されたランサムノート(身代金の宣告)もあります。

図2:DarkyLockのランサムノート

このランサムノートは、被害を受けたマシン上のファイルを復号する見返りに、0.005BTC(約120ドル)を要求しています。本稿執筆時点では、ランサムノートで指定されたビットコインウォレットを使用したトランザクションは確認されていません。

DarkyLock実行ファイルには、LockBit 3.0(別名Lockbit Blackランサムウェア)に言及した興味深い文字列が含まれています。

図3:DarkyLock実行ファイル内の興味深い文字列

現時点では、なぜ「脅迫」文でLockBit 3.0に言及しているのかはわかっていません。

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のDarkyLockランサムウェア亜種から保護されています。

  • W32/FilecoderProt.F183!tr.ransom
  • W32/CoinMiner.NBH!tr

Gwisinランサムウェア

Gwisinは、韓国の企業を標的にしていると伝えられるランサムウェア亜種です。Gwisinは侵入したマシンのファイルを暗号化し、そのファイルに標的企業の名前を使ったファイル拡張子を付けます。

標的マシンには、それを感染させるためのMSI(Windowsインストーラー)ファイルが配布されます。MSIにはWindows DLLファイルが含まれており、これを実行するには、インストーラーパッケージを介して一定の条件を満たす必要があります。これにより、環境内でのGwisinの検知が難しくなっています。インストールに適した状況は、被害者企業によってそれぞれ異なるとみられます。

図4:MSIインストーラーで必要とされる変数の一部

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のGwisinランサムウェア亜種から保護されています。

  • W32/PossibleThreat

vvyuランサムウェア

vvyuは、STOP/DJVUランサムウェアファミリーの亜種で、被害者のマシン上でファイルを暗号化するよう設計されています。vvyuランサムウェアが実行されると、ファイルを暗号化したすべての場所に、ランサムノートがドロップされます。

図5:vvyuのランサムノート

ランサムノートは、システム上で被害を受けたファイルを復号するためのソフトウェアを配布する見返りとして、980ドルを要求しています。ただし、72時間以内の支払いには、値引きを約束しています。オペレーターと連絡を取るためのサポートメールアドレスと、固有のIDも記載されています。vvyuによって暗号化されたファイルには、ファイル拡張子「.vvyu」が付けられます。

図6:vvyuランサムウェアによって暗号化されたファイル

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のvvyuランサムウェア亜種から保護されています。

  • W32/Stealer.3389!tr

Kriptorランサムウェア

Kriptorのランサムノートと表示画面は、一見したところ、2017年から活動している悪名高いWannaCryランサム攻撃と非常によく似ています。WannaCry風のランサムノートの画面には、「Wannacry@Kozisis」という文字まで表示されています。しかし、Wannacryと違って、他のマシンに拡散する自己増殖のメカニズムは備えていません。

Wannacryや他のランサムウェアファミリーと同様に、Kriptorは被害者のマシン上で標的のファイルを暗号化し、身代金として300ドル相当のビットコイン(0.012BTC)を、マルウェアの作成者が管理するウォレットに送金するよう要求します。本稿執筆時点では、ランサムノートで指定されたビットコインウォレットを使ったトランザクションは確認されていません。

図7:Kriptorのランサムノート

ファイルは暗号化され、ファイル拡張子「.Kriptor」が付けられます。72時間から時計のカウントダウンが始まります。マルウェア作成者は、72時間を経過すると身代金を倍増するか、それ以降は永久にファイルを復号できないようにすると脅迫します。

図8:Kriptorランサムウェアによって暗号化されたファイル

図9:WannaCryへの追加のコールバックが表示されたKriptorランサムウェアのファイルプロパティ

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のKriptorランサムウェア亜種から保護されています。

  • W32/Filecoder.OAE!tr.ransom

Cubaランサムウェア

Cubaランサムウェアファミリーは、2019年から観測されています。Cubaは、今では一般的になった「二重恐喝」の手法を使用して、要求された身代金を支払わなければ、被害者のデータをインターネット上に流出させると脅迫します。

図10:CubaランサムウェアのTORサイト

Cubaランサムウェアが実行されると、ファイルを暗号化したディレクトリにランサムノートがドロップされます。ランサムノートには「!! READ ME !!.txt」というファイル名が付けられ、ランサムウェア管理者に支払いの連絡をするための固有のIDが記載されています。第一の連絡先はTox(ピアツーピアのインスタントメッセージングプロトコル)で、被害者が連絡できなかった場合に備えて、予備のメールアドレスも用意されています。Cubaによって暗号化されたファイルには、ファイル拡張子「.cuba」が付けられます。

図11:Cubaランサムウェアのランサムノート

図12:Cubaランサムウェアによって暗号化されたファイル

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のCubaランサムウェア亜種から保護されています。

  • W32/Filecoder.OAE!tr.ransom
  • W32/GenKryptik.EMOA!tr
  • W32/Kryptik.HGXH!tr
  • W32/Filecoder.OAE!tr.ransom
  • W32/Injector.EQGY!tr
  • JS/Agent.5646!tr
  • W32/GenKryptik.FSCS!tr

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIのRansomware Complaintページでは、被害者がインターネット犯罪苦情センター(IC3)を介してランサムウェア攻撃のサンプルを提出することができます。