脅威リサーチ

Ransomware Roundup:LockBit、BlueSky、その他のランサムウェア

投稿者 FortiGuard Labs | 2022年9月7日

FortiGuard Labsはここ数週間にわたり、フォーティネットのデータセットでの活動に加えて、OSINTコミュニティで注目を集めている複数の新しいランサムウェア亜種を観察してきました。これは今に始まったことではありません。同じことが毎週毎週、ほとんど変化のないまま何年間も続けられています。

残念ながら、ランサムウェアは常態化しています。ランサムウェアへの感染は、組織に多大な影響を与え続けています。これには業務の中断、機密情報の漏洩、身代金の支払いによる金銭的損失などが挙げられますが、それだけにとどまりません。だからこそフォーティネットは、現存する、そして新たに発生するランサムウェア亜種への意識を高めるための取り組みをさらに進めることが急務であると考えています。

新しい「Ransomware Roundup」レポートは、進化を続けるランサムウェアの現状と、これらの亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目指しています。

この「Ransomware Roundup」最新版では、LockBit、BlueSky、Deno、RedAlert、Dark Web Hacker、Hive、Againランサムウェアを取り上げます。

LockBitランサムウェア

LockBitは、WindowsとLinuxを標的とするランサムウェア亜種です。その活動は2019年12月から確認されています。このランサムウェアにはRaaS(Ransomware-as-a-Service:サービスとしてのランサムウェア)モデルが使用されています。ランサムウェアの運用者は、LockBitランサムウェアと必要なすべてのツールのほか、それをサポートするリークサイトや身代金支払いポータルなどのインフラストラクチャを開発しています。運用者は、こうしたソリューションをユーザーサポートと共にアフィリエイト(料金を支払って技術を利用する犯罪者)に提供します。サポートはTOX(RaaSフレームワーク)を介して提供されます。さらに運用者は、アフィリエイトに対して身代金交渉などの追加サービスも行います。

LockBitアフィリエイトは攻撃を実行し、標的を感染させてランサムウェアを展開し、その見返りとして、被害者が支払った身代金の20%を受け取ります。アフィリエイトは、原子力発電所やガス / 石油産業など、重要なインフラ環境のファイルを暗号化することはルールで禁止されていますが、こうした組織の重要なファイルやインフラストラクチャを暗号化せずに、データを盗むことは許されています。また、旧ソ連構成国(アルメニア、ベラルーシ、ジョージア、カザフスタン、キルギスタン、ラトヴィア、リトアニア、モルドバ、ロシア、タジキスタン、トルクメニスタン、ウズベキスタン、ウクライナ、エストニア)への攻撃は禁じられています。

図1:Torサイトに掲載されたLockBit 3.0に関するアフィリエイトルール

ファイルが暗号化される前に、被害者のマシンのデータは「StealBit」を使って持ち出されます。StealBitは、LockBitグループが開発した情報窃取ツールです。通常、ランサムウェアによって暗号化されたファイルには、ファイル拡張子「.lockbit」が付けられます。このランサムウェアは、Restore-My-Files.txtに記述したランサムノート(身代金の宣告)も残していきます。

LockBitの亜種の中には、デスクトップの壁紙をメッセージに置き換えて、ユーザーがランサムウェアの被害者であることを通知し、LockBitの脅威アクターへの連絡方法をランサムノートで確認するよう要求するものもあります。LockBitは二重恐喝の手法を使用して、被害を受けたファイルを復元し、盗まれた情報の漏洩を回避するためには、身代金をビットコインで支払うよう要求します。

LockBit 3.0は、LockBit 2.0の後継として2022年3月に活動を開始しました。6月末には、LockBitが再びニュースになりました。ランサムウェアグループが「バグバウンティ」プログラムを導入したからです。これは、LockBitポートフォリオの欠陥や弱点を発見すると、1,000ドル~100万ドルの報奨金が得られるというものです。

図2:LockBit Torサイトに掲載されたバグバウンティプログラム

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

W32/Filecoder.LOCKBIT!tr

W32/Filecoder_Lockbit.A!tr

W64/Lockbit.A!tr

W64/Lockbit.A!tr.ransom

W32/Lockbit.B!t

W64/Lockbit.B!tr

W32/Lockbit.D!tr.ransom

W32/Lockbit.E!tr.ransom

W32/Lockbit.D!tr.ransom

W32/Lockbit.E!tr.ransom

W32/Filecoder_Lockbit.E!tr

W32/Filecoder_Lockbit.E!tr.ransom

W32/LockBit.2513!tr.ransom

W32/LockBit.29EA!tr.ransom

W32/LockBit.29FC!tr.ransom

W32/Lockbit.2D74!tr.ransom

W32/LockBit.921B!tr.ransom

W32/Lockbit.A467!tr

W32/Lockbit.BF6C!tr

W32/Lockbit.C2F8!tr.ransom

W32/Lockbit.FSWW!tr

W32/Lockbit.GCZ!tr

W32/Lockbit.NVBZVOW!tr

W32/Lockbit.VHO!tr

W32/Lockbit.VHO!tr.ransom

W32/Ransom_Win32_LOCKBIT.ENC

HTML/Lockbit.FCBE!tr.ransom

BlueSkyランサムウェア

BlueSkyは最近発見されたランサムウェア亜種で、「MarketShere.exe」および「SecurityUpdate.exe」という名前でBlueSkyランサムウェアのサンプルがオンライン配信されています。BlueSkyは、侵入したマシン上のファイルを暗号化し、「.bluesky」というファイル拡張子を付けます。その後、「# DECRYPT FILES BLUESKY #.txt」と「# DECRYPT FILES BLUESKY #.html」に記述したランサムノートをドロップし、BlueSky TORサイトにアクセスして表示された指示に従うよう被害者に要求します。

図1:テキストファイルのBlueSky身代金メッセージ

図2:HTMLのBluesky身代金メッセージ

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

W32/Conti.F!tr.ransom

W64/GenKryptik.FSFZ! tr

Denoランサムウェア

Denoは新しいランサムウェア亜種で、侵入したマシン上のファイルを暗号化し、標的とするファイルに「.DENO」というファイル拡張子を付けます。その後、「readme.txt」に記述したランサムノートをドロップし、被害者に2つのProtonMailのメールアドレスを通知します。これは、被害を受けたファイルを復元する際の攻撃者への連絡先です。たいへん興味深いことに、身代金の要求額や、脅威アクターの最終的な目的が金銭の支払いかどうかは示されていません。

図3:DenoランサムウェアのReadme.TXT

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

W32/Filecoder.OLQ!tr

MSIL/Agent.MDO!tr.ransom

Malicious_Behavior.SB

W32/PossibleThreat

RedAlert

RedAlertはN13Vとも呼ばれ、7月上旬に発見された新しいランサムウェアです。RedAlertは、WindowsおよびLinux VMWare(ESXi)サーバーを攻撃します。このランサムウェアは、侵入したマシン上のファイルを暗号化し、そのデータを窃取します。被害ファイルに付けられるファイル拡張子として「.crypt658」が報告されていますが、これは被害者に応じて変更される場合があります。

RedAlertは二重恐喝の手法を使用しており、被害を受けたファイルを復元し、盗まれたデータが誰でもダウンロードできるようデータリークサイトで公開されるのを防ぐには、身代金を支払うよう要求します。さらには、被害者を追い込んで身代金を支払わせるために、72時間以内に攻撃者と連絡をとるよう要求したり、盗んだデータの一部をリークサイトで公開したりします。それ以外にも、被害者への分散型サービス拒否(DDoS)攻撃や、被害者に不名誉を負わせるためその従業員に電話をかける、などの脅威があります。

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

ELF/RedAlert.A!tr.ransom

Dark Web Hacker

Dark Web Hackerも、最近発見されたランサムウェアです。Dark Web Hackerは、侵入したマシン上のファイルを暗号化し、標的ファイルの名前の末尾に、無作為に選んだ4文字の拡張子を付けます。「read_it.txt」に記述したランサムノートも残します。ここには、攻撃者の連絡先メールアドレスとビットコインのアドレスが記載されています。身代金の要求額は3,000ドル相当のビットコインです。

Figure 4. Ransom note

デスクトップの壁紙もランサムウェア用の壁紙に置き換えられ、被害者の身代金支払いに「役立つ」ビットコインのQRコードが表示されます。

このランサムウェアはシャドウコピーも削除して、ファイルの復元を難しくします。

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

MSIL/Filecoder.AGP!tr

Hive

Hiveはもう一つのRaaS(Ransomware-as-a-Service)で、被害者のマシン上のファイルを暗号化し、データを窃取します。そして、被害を受けたファイルを復元し、盗まれたデータがDarkWebの「HiveLeaks」と呼ばれるデータリークサイトで公開されるのを回避するには、金銭を支払うよう要求します。このランサムウェアは、コスタリカの公衆衛生システムに被害を与えたことで知られています。報道によると、このシステムはHiveによって業務停止に追い込まれました。

最新版のHiveはRustプログラミング言語で書かれており、旧版の亜種はGoで書かれています。

復号ツールが入手可能に

7月13日、セキュリティリサーチャーの@reecDeepが、Hiveランサムウェア用にキーストリーム復号ツールのバージョン5をリリースしました。このツールは@reecDeepのGithubページに掲載されています。

フォーティネットのソリューション

FortiGuard Labsは、Hiveランサムウェアに関する脅威シグナルレポートを発表しました。Hiveランサムウェアの詳細情報については、こちらのリンクをご覧ください。

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

W64/Filecoder_Hive.A!tr.ransom

W64/Filecoder_Hive.A!tr

「Again」ランサムウェアとは?

Againランサムウェアも新しいランサムウェア亜種で、その起源はBabukにあるようです。Againは、Babukと同じソースコード(このソースコード全体は2021年にリークされています)を共有していると見られ、Babukの亜種から派生したと考えて間違いないでしょう。Againランサムウェアは、暗号化するファイルを見つけてそのファイル名に「.again」を追加し、ファイルを操作不能にします。

被害者には、「How To Restore Your Files.txt」という名前のテキストファイルが渡されます。このファイルには、定義済みのTOR Webサイトを使用して、ランサムウェアを操作している犯人に連絡する方法が記載されています。このサイトには、身代金要求者への送信メッセージのページがあります。身代金要求者は、ファイルと引きかえに被害者から何らかの見返りを求めると思われます。

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって保護されます。

W64/Filecoder_Rook.B!tr.ransom

ベストプラクティスは身代金の支払い拒否

ランサムウェアの被害者は、CISA、NCSC、FBI、HHSなどから身代金を支払わないよう注意を受けます。その理由の一つは、身代金を支払ってもファイルを復元できるとは限らないからです。さらに、米国財務省外国資産管理局(OFAC)の勧告によると、身代金の支払いが別の組織への攻撃を助長する、他の犯罪者によるランサムウェアの拡散を誘発する、違法の可能性が高い不正行為の資金源となる、といった問題が起こり得ます。FBIはランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター(Internet Crimes Complaint Center:IC3)を通じてランサムウェア攻撃のサンプルを提出することができます。