Ransomware Roundup：新型FBI、Wise Guys、「Pyschedelic」ランサムウェア

米国時間2022年10月27日に掲載されたフォーティネットブログの抄訳です。

FortiGuard Labsは隔週で、OSINTコミュニティおよびフォーティネットのデータセットで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。

この「Ransomware Roundup」最新版では、FBIランサムウェアの新型亜種、Wise Guys、および「Pyschedelic」ランサムウェアについて解説します。

影響を受けるプラットフォーム：　Microsoft Windows
影響を受けるユーザー：　　　　　Microsoft Windowsユーザー
影響：　　　　　　　　　　　　　侵害されたマシンのファイルを暗号化し、ファイルの復号と引き換えに身代金を要求する
深刻度：　　　　　　　　　　　　高

FBIランサムウェアの新型亜種

FBI（連邦捜査局）や司法省などの司法当局を装ったランサムウェア亜種（Reveton 2012など）は、ランサムウェアの黎明期からずっと活動を続けています。これらのランサムウェアは、被害者に対して本人が著作権を侵害している、あるいは違法な画像や映画を所持していると通知します。そして、この深刻な（実は詐欺による）状況から抜け出す唯一の方法は、罰金（すなわち身代金）を支払うことであると告げるのが一般的な方法です。

FortiGuard Labsは先日、FBIを騙ってこれと同じ手口を使用する新しいランサムウェア亜種を発見しました。ランサムノートでは、被害者がマシンに保存しているとされる違法なコンテンツが原因で、そのファイルが暗号化されたことが伝えられます。

被害者にはロック解除コードを入力するチャンスが5回与えられます。おそらくこのコードは、被害者がEメール（Protonのメールアドレス）で「FBI」と連絡を取り、「罰金」を支払うと入手することができます。コードの入力に失敗するたびにエラーメッセージが表示され、罰金を支払わなければ収監されると圧力を加えます。

ランサムノートのリンクにはFBIのホームページを示す実際のURLが含まれていますが、これは被害者に支払いをさせるための見え透いた手口です。以下に示すように、このURLは正しく解決されません。

今のところホスティング場所は特定されていませんが、このFBIランサムウェア亜種は「PayPal Checker.exe」というファイル名を使用して拡散されるようです。一般に、PayPal CheckerはPayPalアカウントの有効性を検査するツールを指します。

Wise Guysランサムウェア

Wise Guysランサムウェアは、被害者のマシン上のファイルを削除する破壊的なマルウェアです。このランサムウェアが動作すると、以下に示す特定のフォルダ内のファイルをすべて削除します。

• MyPictures
• Desktop
• MyMusic
• Personal（MyDocumentsと同じ）
• StartMenu
• Favorites
• Cookies
• ApplicationData

その後、これらのフォルダも削除しようとします。破壊的行為はそれだけにとどまらず、シャドーコピーも削除します。

削除されたファイルを復元する方法がないにもかかわらず、ランサムウェアはreadme.txt、readme.html、readme.htaという名前のランサムノートをドロップします。これらのランサムノートは、被害者マシンのファイルが暗号化されており、ファイルを元に戻す唯一の方法は、復号鍵と引き換えに500ドル相当のEthereumを支払うことであると告げます。これは明らかに虚偽であり、残念ながら復元不可能なファイルのために被害者に金銭を支払わせようとしています。このランサムウェアは、ランサムウェアの脅威アクターに身代金を支払うべきでない理由、つまり、ファイルを復元できる可能性が低いことをよく表しています。

「Pyschedelic」ランサムウェア

大半のランサムウェアと同様に、「Pyschedelic」の新型亜種は被害者のマシン上のファイルを暗号化し、影響を受けたファイルの復元と引き換えに身代金を要求します（「Pyschedelic」は本ブログのスペルミスではなく、攻撃者が付けた名前です）。「Pyschedelic」は、HOW_TO_DECRYPT_FILES.txtというテキストファイルのランサムノートを残していきます。

ランサムノートは、Eメールで攻撃者と連絡を取るよう被害者に要求します。また、被害者のファイルは「未知のアルゴリズム」を使用して暗号化されていると主張します。しかし、我々が分析した結果、このランサムウェアはWindowsコマンドの「certutil-encode」を使ってファイルをエンコードすることが判明しました。つまり、「未知のアルゴリズム」はbase64ということになります。

身代金は150ドルと低めに設定されています。これは、「Pyschedelic」ランサムウェアが企業ではなく個人を標的にしていることを示唆している可能性があります。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのWebフィルタリング、アンチウイルス、FortiMail、FortiClient、FortiEDRサービスによって、上記のマルウェア亜種から以下のように保護されています。

FortiGuard Labsは以下のアンチウイルスシグネチャを使用して、このブログで取り上げたランサムウェア亜種を検知します。

• MSIL/Filecoder.FG!tr.ransom
• W32/PossibleThreat
• PossibleThreat

IOC（Indicators of Compromise：侵害指標）

FBIランサムウェア

• 3a93a6b9c5f54108dd59e70c0d30c05127c34939aa51526cb844e5aa1d8d7e8b

Wise Guysランサムウェア

• 16b014aa6d0e2293b44a3071c898b9b9080cd1003e86bc32ecc6e45940a67d9f
• 253bc015093f7282483d9ba36b2afc21111422860ec0e94f5dec6a989a211450

Pyschedelicランサムウェア

• 0461298ce2c4d7ea25fea6a68556784bffff8cf703163492efde581ef4b0e354

FortiGuard Labsのガイダンス

頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII（個人情報）の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。

大半のランサムウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。

フォーティネットが無償で提供するNSEトレーニング：NSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。

進化を続け急拡大するランサムウェアのリスクに効果的に対処するには、データバックアップの頻度、場所、およびセキュリティを根本的に見直す必要があります。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせると、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化し、ランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション（SASEなど）、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティ（EDR：エンドポイントの脅威検知とレスポンス、など）、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。

フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS（Security-as-a-Service）の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されたグローバルなFortiGuardチームです。

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局（OFAC）の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIはランサムウェアの被害を受けた組織および個人向けに、ランサムウェア申告ページを開設しており、被害者はインターネット犯罪苦情センター（Internet Crimes Complaint Center：IC3）を通じてランサムウェア攻撃のサンプルを提出することができます。

フォーティネットのサービス

インシデントが検知されると、FortiGuard Labsの緊急インシデント対応サービスが迅速かつ効果的に対応します。フォーティネットのインシデント対応サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト（机上演習）などが含まれます。

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuard AI活用セキュリティのサービスポートフォリオをご参照してください。