Ransomware Roundup：Playランサムウェア

米国時間2022年12月22日に掲載されたフォーティネットブログの抄訳です。

FortiGuard Labsは隔週で、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。

この「Ransomware Roundup」最新版では、Playランサムウェアを取り上げていきます。

影響を受けるプラットフォーム：　Microsoft Windows
影響を受けるユーザー：　　　　　Microsoft Windowsユーザー
影響：　　　　　　　　　　　　　侵害されたマシンのファイルを暗号化し、ファイルの復号と引き換えに身代金を要求する
深刻度：　　　　　　　　　　　　高

Playランサムウェアの概要

Playは、2022年6月に初めて検知された、比較的新しいランサムウェアです。本レポートでは、Playとは、このランサムウェアを開発し配布しているグループの名前と、ランサムウェアの実行ファイルの名前の両方を指しています。この分野の他の多くの犯罪者と同様、Playは組織内のエンドポイントやその他価値のあるインフラストラクチャを暗号化し、身代金が支払われなければそれらのマシンから抜き取ったデータをインターネット上に公開すると脅すという「二重の身代金」方式を採用しています。

Playランサムウェアの感染経路

Playは、フィッシング、不正アクセスしたアカウント、公開されたRDP（リモートデスクトッププロトコル）サーバーなど、さまざまな一般的方法を使用して環境にアクセスすることが確認されています。ひとたび足掛かりを築くと、環境寄生型（LoTL：Living off the Land）攻撃を使用して探索し、目的のマシン上でマルウェアを実行するための基盤を準備します。

Playランサムウェアの実行ファイル

この実行ファイルはMicrosoft Visual C++で記述されており、マルウェアのアクティビティの調査を遅らせるためのデバッグ回避および分析回避機能をいくつか含んでいます。これらの機能には、ガベージコード（有用な目的を持たない、他の命令からの支援なしで実行できる命令）や、実行を袋小路に追い込む関数リターンが含まれます。

Play ランサムウェアの実行

ランサムウェアは起動すると、個人のドキュメントや業務ドキュメントなど、対象となるすべてのファイルを暗号化し（システムファイルには触れません）、それらに拡張子「.PLAY」を付けて残します。

暗号化が完了すると、プライマリドライブのルート（例：C:\）に ReadMe.txt という名前のランサムノートが追加されます。これには、グループのTORページへのリンクと連絡先のEメールアドレスが含まれています。

「Play News」ランディングページには、Playの攻撃を受けたとされる企業がリストアップされ、収集されたあらゆるデータの公開予定までのカウントダウンが表示されます。支払いを拒否した組織のデータへのリンクもここに掲載されます。

また、犯罪グループに連絡できるコンタクトポータルや、同グループが行ったことを大まかに説明した「FAQ」、被害者がデータを復元するための手順なども用意されています。

このブログを書いている時点で、「Play News」ページには現在脅迫されている7件のアクティブな被害者が掲載されています。被害者の地域別内訳は以下のとおりです。

盗まれたデータが漏洩した被害者の地域別内訳は以下のとおりです。

これらの情報によると、Playランサムウェアの犯罪者は、地域に関係なく被害者をターゲットにしているようです。1つだけ注意すべきなのは、偶然かもしれませんが、旧ソ連諸国の企業は「Play News」にリストアップされていないようです。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのWebフィルタリング、アンチウイルス、FortiEDRサービスによって、上記のマルウェア亜種から保護されています。

FortiGuard Labsは、以下のアンチウイルスシグネチャを使用して、このブログで取り上げたPlayランサムウェア亜種を検知します。

• W32/Filecoder.PLAY!tr.ransom
• W32/Filecoder_PLAY.B!tr
• W32/Filecoder.OLT!tr.ransom
• W32/Filecoder.NHQDTEZ!tr.ransom
• Riskware/Filecoder_PLAY
• W32/PossibleThreat

IOC（Indicators of Compromise：侵害指標）：

ファイルベースIOC（Indicators of Compromise：侵害指標）：

FortiGuard Labsのガイダンス

頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII（個人情報）の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。

大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。

フォーティネットが無償で提供するNSEトレーニング：NSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。

組織はデータバックアップの頻度、場所、およびセキュリティを根本的に見直し、進化を続け急速に拡大するランサムウェアのリスクに効果的に対処しなければなりません。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション（SASEなど）、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ（EDR：エンドポイントの脅威検知とレスポンス、など）、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。

フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS（Security-as-a-Service）の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局（OFAC）の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター（Internet Crimes Complaint Center：IC3）を通じてランサムウェア攻撃のサンプルを提出することができます。

フォーティネットのサービス

インシデントが検知されると、FortiGuard Labsの緊急インシデントレスポンスサービスが迅速かつ効果的に対応します。フォーティネットのインシデントレスポンスサブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト（机上演習）などが含まれます。

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuard AI活用セキュリティのサービスポートフォリオをご参照してください。