脅威リサーチ

Ransomware Roundup:Redeemer、Beamed、その他のランサムウェア

投稿者 Shunichi Imano および James Slaughter | 2022年11月1日

FortiGuard Labsは過去数週間、OSINTコミュニティ内で注目されている新しい複数のランサムウェアの亜種および活動を、当社のデータベースから観測しました。これは新しい現象ではありません。これは、数年前からの挙動パターンの一部であり、今後もしばらく続くと思われます。

ランサムウェアの感染は、引き続き組織に大きな影響を及ぼしており、その影響は、事業の中断や機密情報の盗難、身代金の支払いに起因する金銭的な損失だけにとどまりません。そのため、既存のランサムウェアや新しいランサムウェアの亜種に関する意識を高めるための取り組みの強化が不可欠だと感じています。

この最新の「Ransomware Roundup」レポートの目的は、読者に対して、進化するランサムウェアの状況、およびこれらの亜種を防御するフォーティネットのソリューションに関する簡単なインサイト情報を提供することです。

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     Microsoft Windowsユーザー
影響:             感染したマシンのファイルを暗号化し、ファイルの復号と引き換えに身代金を要求する
深刻度レベル:         高

この「Ransomware Roundup」の最新版では、Redeemer、Beamed、およびAraicryptランサムウェアファミリーについて解説します。

Redeemerランサムウェア

Redeemerは2021年6月に最初に発見されたランサムウェアの亜種です。感染したマシン上のファイルを暗号化し、被害を受けたファイルを復号化するために、暗号通貨のMonero(XMR)で身代金を要求します。この記事の執筆時点で(2022年7月29日)、Redeemerランサムウェアの公開バージョンは、1.0、1.5、1.7、および2.0の4つがあります。このことは、Redeemerの脅威アクターが本ランサムウェアの改善に継続的に取り組んでいることを意味します。

図1:Redeemerランサムウェアバージョン1.0の変更ログ

図2:Redeemerランサムウェアバージョン1.5から1.7の変更ログ

図3:Redeemerランサムウェアバージョン2.0の変更ログ

Redeemerランサムウェアによって暗号化されたファイルは通常、「.redeem」のファイルの拡張子が付いています。また、このマルウェアはRead Me.TXTにランサムノートを残します。

図4:Redeemerランサムウェアによって暗号化されたファイルとランサムノート

図5:Redeemerランサムウェアのランサムノート

Redeemerは、TOR上に独自のWebページを持っており、Redeemerランサムウェアやツールキットの使用方法に関する説明が掲載されています。この説明は、6つのセクションに分けられています。

  1. パート0は、暗号通貨の使用方法、およびアフィリエイト(ランサムウェアの利用者)が使用してはいけないプロセス名の一覧が記載されています。
  2. パート1は、Redeemerランサムウェアの構築方法となっており、これには、プライベートビルドキーの生成、Moneroでの身代金金額の設定、連絡先情報の追加、キャンペーンIDの追加、自動削除の有効化 / 無効化が含まれます。
  3. パート2は、このランサムウェアは設計的に、暗号化プロセスの前後にログとシャドウコピーを2回削除すること、および被害ファイルが存在するすべてのディレクトリにランサムノートを残すことが記載されています。このセクションでは、本ランサムウェアは管理者権限で実行する必要があり、それ以外の場合は実行されない旨をアフィリエイトに警告しています。つまり、Redeemerランサムウェアは、ソーシャルエンジニアリングで被害者を騙してランサムウェアを実行させるか、ソフトウェアやハードウェアの脆弱性を悪用して権限を昇格して実行することを意味します。後者については、現在のところ観察されていません。
  4. パート3は、被害者と連絡する方法が記載されています。攻撃者のIPが識別されないように、プライバシー重視のサービスを利用して被害者と交渉するよう、アフィリエイトに推奨しています。また、被害者に対する値引き要求は、通常、プロの交渉人によるものであるため、被害者に値引きを行わないよう、Redeemerの脅威アクターは忠告しています。
  5. パート4は、ファイルの復号化に関するもので、Affiliate Toolkitを使用してRedeemerアフィリエイトキーを取得する方法についての説明が記載されており、これには、被害者から受け取ったRedeemerの公開鍵と、以前に生成したプライベートビルドキー(パート1を参照)を利用します。アフィリエイトは、Redeemerアフィリエイトキーを開発者に渡し、復号化料金(身代金の20%)を開発者のMoneroのウォレットにデポジットすることで、復号化用のRedeemerマスターキーを受け取ります。
  6. パート5は、被害者がRedeemerの復号化ツールを実行して、暗号化したファイルを回復する方法が記載されています。
図6:Redeemerに関するアフィリエイトの説明ページ

図7:Redeemerバージョン2.0パッケージ内のファイル

前述のとおり、復号化料金は現在20%に設定されており、アフィリエイトは80%の利益が得られます。また、アフィリエイトは開発者と連絡するために、Toxチャットのアドレスが提供されます。

図8:Redeemerページの復号化料金の支払いおよび開発者のToxチャットID

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のRedeemerランサムウェアの亜種から保護されています。

  • W32/Filecoder.OHI!
  • W32/Filecoder.OHI!tr
  • W32/Filecoder.050E!tr.ransom
  • W32/Filecoder.OHI!tr.ransom
  • W32/RedLineStealer.A!tr
  • W32/Malicious_Behavior.VEX

Beamedランサムウェア

Beamedは、感染したマシン上のファイルを暗号化し、ファイルの復号化のために、被害者にBitcoinで身代金の支払いを求めるランサムウェアです。暗号化されたファイルは、「.beamed」のファイル拡張子が付いています。「RIP YO DOCUMENTS.txt」にランサムノートを残し、攻撃者のBitcoinアドレスが記載されています。身代金の料金は、200ドル相当のBitcoinに設定されています。この記事の執筆時点で、このBitcoinウォレットでの取引は観察されていません。

図9:Beamedランサムウェアの「色鮮やか」なランサムノート

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のBeamedランサムウェアの亜種から保護されます。

  • MSIL/Filecoder.TA!tr

Araicryptランサムウェア

Araicryptは、被害者のマシンのファイルを暗号化するThanosランサムウェアファミリーの亜種と思われます。「READ_TO_RESTORE_YOUR_FILES.txt」にランサムノートを残します。Araicryptは、ランサムノートのメッセージで、シャドウコピーが削除されたためファイルの回復が困難になっていると主張します。また、被害者の情報を盗んだと主張し、被害者は48時間以内に攻撃者にEメールで連絡するよう要求されます。被害者が連絡しなかった場合、攻撃者は盗んだデータを公開すると脅迫します。Araicryptランサムウェアによって暗号化されたファイルは、「.araicrypt」のファイル拡張子が付いています。

図10:Araiランサムウェアのランサムノート

フォーティネットのソリューション

最新のアンチウイルス定義を実行しているフォーティネットのお客様は、以下のシグネチャによって、既知のAraiランサムウェアの亜種から保護されています。

  • MSIL/Filecoder.Thanos.A!tr
  • MSIL/Filecoder_Thanos.A!tr.ransom
  • MSIL/Filecoder_Thanos.B!tr

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、およびHHSなどの組織は、ランサムウェアの被害者に対して、身代金を支払わないように呼びかけています。身代金を支払ってもファイルの復旧は保証されない、というのがその理由の一つです。また、米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIのRansomware Complaintページでは、被害者がインターネット犯罪苦情センター(IC3)を介してランサムウェア攻撃のサンプルを提出することができます。