Ransomware Roundup：Vohuk、ScareCrow、AERSTの新型亜種

米国時間2022年12月8日に掲載されたフォーティネットブログの抄訳です。

FortiGuard Labsは隔週で、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。

この「Ransomware Roundup」最新版では、Vohuk、ScareCrow、AERSTランサムウェアを取り上げていきます。

影響を受けるプラットフォーム：　Microsoft Windows
影響を受けるユーザー：　　　　　Microsoft Windowsユーザー
影響：　　　　　　　　　　　　　侵害されたマシンのファイルを暗号化し、ファイルの復号と引き換えに身代金を要求する
深刻度：　　　　　　　　　　　　高

Vohukランサムウェア

Vohukの新しい亜種は、他の多くのランサムウェアと同様、感染したマシン上のファイルを暗号化し、被害者から金銭を脅し取ろうとします。ドロップされたランサムノート「README.txt」は、被害者に、各被害者に割り当てられた固有のIDで攻撃者にEメールで連絡するよう要求します。ランサムノートに記載されているように、このVohukの変種はバージョン1.3であり、攻撃者がこのランサムウェアを数回更新した可能性があります。

Vohukランサムウェアによって暗号化されたファイルには、「.Vohuk」というファイル拡張子が付けられます。また、ファイルアイコンが赤いロックアイコンに置き換わります。

また、このランサムウェアはデスクトップの壁紙を独自のものに置き換えてしまいます。

このランサムウェアは、「Global\\VohukMutex」という特徴的なミューテックスを残し、異なるインスタンスのVohukランサムウェアが同じシステム上で実行されないようにします。

VirusTotalへのファイルの提出場所からわかることは、Vohukランサムウェアは主にドイツとインドに影響を及ぼしているということです。

ScareCrowランサムウェア

ScareCrowも、被害者のマシン上のファイルを暗号化する典型的なランサムウェアです。「readme.txt」と題されたランサムノートには、被害者が攻撃者と話すために使用できる3つのTelegramチャンネルが含まれています。ランサムノートには金銭的な要求は記載されていませんが、被害者は暗号化されたファイルを復元するために身代金を支払うように求められる可能性が高いです。この記事の執筆時点では、これら3つのTelegramチャンネルは使用できませんでした。

ScareCrowは悪名高いContiと類似点があるようです。どちらもChaChaアルゴリズムを使用してファイルを暗号化し、シャドウコピーIDに基づいてwmicを使用してシャドウコピーを削除します。これは、Contiランサムウェアのソースコードが今年早くに流出したと報じられたため、それほど驚くことではありません。ただし、我々の分析では、いくつかの重要な違いが見つかりました。そのような理由から、ScareCrow脅威アクターは、このランサムウェアの亜種の開発に力を注いだと考えられます。たとえば、Contiはすべてのコマンド文字列を1つの復号ルーチンで暗号化しますが、ScareCrowは、読み込むDLLの名前（すなわち、kernel32）、使用するAPIの名前、独自の復号ルーチンを使用したコマンド文字列を含む、すべての文字列を暗号化します。

ScareCrowランサムウェアは、影響を受けるファイルに「.CROW」ファイル拡張子を追加します。

ScareCrowランサムウェアのファイルが、ドイツ、インド、イタリア、フィリピン、ロシア、米国からVirusTotalに提出されました。このことから、このランサムウェアは、未知の感染ベクトルを使用しているにもかかわらず、比較的広く普及していることがわかります。

AESRTランサムウェア

AESRTは、FortiGuard Labsが最近遭遇した新しいランサムウェアの亜種です。このランサムウェアは、感染したマシン上のファイルを暗号化し、暗号化したファイルに「.AESRT」ファイル拡張子を付加します。このランサムウェアは、ランサムノートを残す代わりに、攻撃者のEメールアドレスを含むポップアップウィンドウを表示します。さらに、身代金を要求されたファイルを復号するために必要な購入済みキーを入力するフィールドも用意されています。また、このランサムウェアはシャドウコピーを削除するため、被害者はファイルを復元できません。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのアンチウイルスやFortiEDRサービスによって、上記のマルウェア亜種から以下のように保護されています。

FortiGuard Labsは、以下のアンチウイルスシグネチャを使用して、このブログで取り上げたVohuk、ScareCrow、AESRTランサムウェア亜種を検知します。

Vohukランサムウェア

• W32/Ransom.FYWDOCB!tr.ransom
• W32/Filecoder.OKE!tr.ransom
• W32/Filecoder.RTH!tr.ransom

ScareCrowランサムウェア

• W32/Conti.F!tr.ransom

AESRTランサムウェア

• MSIL/Filecoder.ACE!tr.ransom
• W32/Filecoder.ACE!tr.ransom

IOC（Indicators of Compromise：侵害指標）

Vohukランサムウェア

• f570a57621db552526f7e6c092375efc8df2656c5203209b2ac8e06a198b8964
• 339a6e6e891d5bb8f19a01f948c352216e44656e46f3ee462319371fd98b3369
• 5af5401f756753bebec40c1402266d31cb16c3831cb3e9e4fe7f8562adadeee7

ScareCrowランサムウェア

• 7f6421cdf6355edfdcbddadd26bcdfbf984def301df3c6c03d71af8e30bb781f
• a4337294dc51518284641982a28df585ede9b5f0e3f86be3c2c6bb5ad766a50f
• bcf49782d7dc8c7010156b31d3d56193d751d0dbfa2abbe7671bcf31f2cb190a

AESRTランサムウェア

• 05072a7ec455fdf0977f69d49dcaaf012c403c9d39861fa2216eae19c160527f
• b6743906c49c1c7a36439a46de9aca88b6cd40f52af128b215f808a406a69598

FortiGuard Labsのガイダンス

頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII（個人情報）の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。

大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。

フォーティネットが無償で提供するNSEトレーニング：NSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。

組織はデータバックアップの頻度、場所、およびセキュリティを根本的に見直し、進化を続け急速に拡大するランサムウェアのリスクに効果的に対処しなければなりません。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション（SASEなど）、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ（EDR：エンドポイントの脅威検知とレスポンス、など）、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。

フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS（Security-as-a-Service）の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局（OFAC）の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター（Internet Crimes Complaint Center：IC3）を通じてランサムウェア攻撃のサンプルを提出することができます。

フォーティネットのサービス

インシデントが検知されると、FortiGuard Labsの緊急インシデントレスポンスサービスが迅速かつ効果的に対応します。フォーティネットのインシデントレスポンスサブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト（机上演習）などが含まれます。

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuard AI活用セキュリティのサービスポートフォリオをご参照してください。