脅威リサーチ

Ransomware Roundup:Royalランサムウェア

投稿者 Shunichi Imano および James Slaughter | 2022年12月27日

FortiGuard Labsは隔週で、フォーティネットのデータセットおよびOSINTコミュニティで活発化している特定のランサムウェア亜種に関するデータを収集しています。Ransomware Roundupレポートは、進化を続けるランサムウェアの現状と、ランサムウェア亜種を防御するためのフォーティネットのソリューションについて、読者にわかりやすく解説することを目的としています。

この「Ransomware Roundup」最新版ではRoyalランサムウェアを取り上げていきます。

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     Microsoft Windowsユーザー
影響:             侵害されたマシンのファイルを暗号化し、ファイルの復号と引き換えに身代金を要求する
深刻度:            

Royalランサムウェア

Royalは比較的新しいランサムウェアですが、2022年の初め頃には活動を始めています。犯罪者グループとこのマルウェアの目的は典型的なものです。つまり、被害者の環境にアクセスし、データを暗号化し、被害を受けたファイルの復元と引き換えに身代金を要求することです。

決まった感染ベクトルはなさそうです。むしろ、個々の被害者によって感染状況は異なると思われます。

犯罪者グループは「二重恐喝」の手法を用い、ランサムノート(身代金の宣告)の中で、身代金が支払われなければ被害者のデータを使用不能にするだけでなく、被害者から奪ったデータを公開すると脅迫します。ただし、この内容は完全には実証されていません。

悪い冗談ともとれる部分では、自分たちの活動は「侵入テストサービス」であり、被害者に「セキュリティレビュー」を提供すると述べています。

図1:Royalのランサムノート

このランサムウェア自体は、C++で記述された64ビットのWindows実行ファイルです。

コマンドラインで起動されることから、他の方法で環境にアクセスしたあと、オペレーターを介して実行することを目的としていると考えられます。

暗号化プロセスを開始するには、2つの引数を渡す必要があります。「-path」は、暗号化の対象として1つのディレクトリまたはドライブ全体を指定します。「-id」は、グループが被害者を識別する方法を示しているようです。図2のように、「-id」は32文字の文字列です。

図2:Royalの実行

どちらの引数が指定されているかにかかわらず、マルウェアは処理を先に進め、システムからボリュームのシャドウコピーを削除します。

図3:ボリュームのシャドウコピーを削除するRoyal

興味深いことに、コードには3つ目の引数フラグ「-ep」があります。これは破棄された引数か、まだ実装されていない機能を有効化する引数です。

図4:すべてのRoyalコマンドライン引数(未使用の「-ep」を含む)

Royalは、OpenSSLライブラリを使用してファイルをAESに暗号化しているようです。暗号化されたファイルは名前が変更され、ファイル拡張子「.royal」が付けられます。

図5:Royalによって暗号化されたファイル

注目すべきは、どの状況においてもファイルが完全には暗号化されていない点です。例えば、FortiGuard Labsのテストシステムで使用したPDFには、暗号化のあとも複数の認識可能なアイテムが表示されました。

図6:部分的に暗号化されたPDFファイル

図1のランサムノートが示すように、被害者には、支払いについてグループと連絡を取るためのIDと専用Torページが通知されます。

図7:RoyalのTorランディングページ

Torランディングページは実在しますが、暗号化プロセスで生成されたreadmeファイルを読むよう促しているにすぎません。希望者がグループにメッセージを送信できるよう、非対話式の連絡フォームも表示されます。

図8:Torランディングページの連絡フォーム

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのアンチウイルス、FortiMail、FortiClient、FortiEDRサービスによって、Royalマルウェア亜種から以下のように保護されています。

FortiGuard Labsは以下のアンチウイルスシグネチャを使用して、既知のRoyalランサムウェア亜種を検知します。

  • W32/PossibleThreat

IOC(Indicators of Compromise:侵害指標)

  • 2598e8adb87976abe48f0eba4bbb9a7cb69439e0c133b21aee3845dfccf3fb8f
  • 9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926

FortiGuard Labsのガイダンス

頻繁なシステム停止、日常業務への損害、組織の評判への影響、PII(個人情報)の破損や望ましくない公表などを考えると、すべてのアンチウイルスおよびIPSシグネチャを最新の状態で維持することが重要です。

大半のマルウェアはフィッシングを介して拡散されます。したがって、フィッシング攻撃の理解 / 検知に関するユーザートレーニング向けに設計されたフォーティネットソリューションの活用を是非ご検討ください。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。

フォーティネットが無償で提供するNSEトレーニングNSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方法を学習できます。また、このトレーニングは社内のトレーニングプログラムに簡単に組み込むこともできます。

進化を続け急拡大するランサムウェアのリスクに効果的に対処するには、データバックアップの頻度、場所、およびセキュリティを根本的に見直す必要があります。デジタルサプライチェーンの侵害や、リモートワーカーがネットワークに接続することなどを考え合わせれば、どこからでも攻撃されるリスクがまぎれもなく存在します。リスクを最小化しランサムウェア攻撃の影響を軽減するために、オフネットワークのデバイスを保護するクラウドベースのセキュリティソリューション(SASEなど)、マルウェアの中間者攻撃を阻止できる高度なエンドポイントセキュリティEDR(エンドポイントの脅威検知とレスポンス)など、そして、ポリシーとコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略の活用を是非ご検討ください。

フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS(Security-as-a-Service)の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されるグローバルに展開するFortiGuardチームです。

ベストプラクティスは身代金の支払い拒否

CISA、NCSC、FBI、HHSなどの組織は、ランサムウェアの被害者に対し、身代金を支払わないよう呼びかけています。身代金を支払ってもファイルが復元される保証はない、というのがその理由の一つです。米国財務省外国資産管理局(OFAC)の勧告によると、身代金を支払うことで、別の組織を狙った攻撃や、他の犯罪者によるランサムウェアの配信を助長したり、法律違反の可能性がある非倫理的行為に資金を提供したりする可能性があります。FBIのRansomware Complaintページでは、被害者がインターネット犯罪苦情センター(IC3)を介してランサムウェア攻撃のサンプルを提出することができます。

フォーティネットのサービス

インシデントが検知されると、FortiGuard Labsの緊急インシデント対応サービスが迅速かつ効果的に対応します。フォーティネットのインシデント対応サブスクリプションサービスは、サイバーインシデントへの備えを強化するためのツールとガイダンスを提供します。これには準備態勢の評価や、IRプレイブックの作成およびテスト(机上演習)などが含まれます。