Trigonaランサムウェア

このランサムウェアは、2022年10月に初めて報告された比較的新しいものです。他のランサムウェアと同様に感染したマシンのデータを暗号化するとともに、身代金を支払わなければ窃取したデータをインターネット上に公開するという二重恐喝を行います。なお、一部の公的な報告書によれば、その活動は2022年末にかけて活発化していたということです。

このランサムウェアで興味深いのは、被害者に対するサポートが手厚く、まるで「自分たちを信頼してほしい」というかのように身代金支払いのプロセスを丁寧に用意している点です。

まず、暗号化されたファイルが確実に復元できることを証明するように、最大3つのファイルを復号できるようになっています。また、以下のような「howtodecrypt.hta」というHTMLファイルを残し、暗号化されたデータの復元方法や、攻撃者への連絡方法などが詳細に説明されます。

さらに、連絡先となるTORサイトにアクセスしやすくするためか、TORブラウザのダウンロードリンクまで掲載されています。TORサイトとは、インターネット検閲などを回避するため、IPアドレスの匿名性を確保したサイトのことです。ただし、ここに記載されているダウンロードリンクはすでに機能しておらず、被害者は改めてTORの公式サイトを探して、ダウンロードする必要があります。

攻撃者のTORサイトにアクセスすると、以下のようなユーザー登録ページが表示されます。

被害者はここでTORサイトにログインし、暗号資産である「Monero(通貨記号はXMR)」を購入して身代金を支払うよう要求されます。このTORサイトには、被害者の作業をサポートするチャットオプションまで用意されています。

このようなランサムウェアの登場で感じられるのは、ランサムウェア攻撃がまさしく、被害者までもそのエコシステムに取り込んだ「ビジネス」へと変貌しつつあるということです。ビジネスの目的を達成するには、そのユーザーである被害者が戸惑うことなく、確実に身代金を支払える必要があります。そのための配慮が手厚い点が、このTrigonaランサムウェアの特徴といえます。

CatBランサムウェア

CatBランサムウェアもかなり新しく、そのサンプルが最初に発見されたのは2022年12月です。ただし、身代金を受け取るためのBitcoinウォレットが、2022年11月に発見されている他のランサムウェアと同じであることから、この攻撃者は以前から活動していたのではないかと推測されます(2023年2月時点では、このBitcoinウォレットに残高がない状態でした。身代金を手に入れるという目的自体は十分に達成していない可能性があります)。

このランサムウェアは前述のTrigonaランサムウェアに比べると、被害者に「優しく」ありません。身代金要求は目立つ場所にメモを残すのではなく、暗号化した全てのファイルの冒頭に以下のように付加されるだけで、被害者はそれを自力で見つけ出さなければなりません。

また、要求される身代金の額は50BTC(2023年3月のレートで約1億3,600万円)と高額であり、それが1日ごとに高くなり、5日目には復旧不可能になります。さらに、TORサイトなどのWebポータルは用意されず、攻撃者への連絡は、先程のメモに記載されたメールアドレス宛に被害者から行う必要があります。

このように、身代金の額や要求方法も含めかなり「乱暴」とも言えるランサムウェアですが、興味深いのはその感染プロセスです。他のランサムウェアでもよく利用される「DLLサイドローディング※」という手法で感染させますが、実際に暗号化するまで様々なチェックを行っており、脅迫方法とは対照的な慎重さを見せているのです。

※「DLLサイドローディング」とは、Windowsがアプリケーションを実行する際に読み込む「DLL」というライブラリの検索順序を悪用し、正規のDLLよりも先に攻撃者が用意したDLLを読み込ませてマルウェアを実行させるという手法です。

まず、最初のマルウェアコードが実行されると、侵入したマシンのプロセッサ数をチェックします。2つ以上のプロセッサがない場合は、その後の処理は実行されません。

プロセッサ数が2つ以上の場合は、次にメモリ容量をチェックします。ここで2GB未満の場合も、処理は終了します。

さらに、このマシンが使用しているハードディスクをチェックし、その物理的な情報を取得しようとします。これが失敗した場合も、処理は中断されます。

このようなチェックは、侵入したマシンが「仮想マシンではない」ことを確認するためです。

マルウェア被害を防止し、かつその挙動を分析する方法として、サンドボックス上に仮想マシンを用意し、そこにマルウェアを誘導して実行させるというものがあります。サンドボックスは実際の環境から隔離されているため、ここでマルウェアを実行しても被害を受けることはありません。一方、攻撃者にとっては、自分が送り込んだマルウェアが解析されてしまうため、極力回避したいのです。

一般にサンドボックス内に展開される仮想マシンは、必要最小限のリソースしか割り当てられておらず、ストレージも仮想化されていることが一般的です。そのため、CPUやメモリといったリソース量をチェックし、物理的ハードディスクに接続されていることを確認することで、仮想マシンではないと判断できるわけです。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

ALCランサムウェア、Sirattackerランサムウェア

「Ransomware Roundup:SirattackerおよびALCランサムウェア」(Shunichi Imano、James Slaughter、 and Geri Revay、2023年3月6日)

Trigonaランサムウェア

「Ransomware Roundup:Trigonaランサムウェア」(Shunichi Imano、2023年2月2日)

CatBランサムウェア

「Ransomware Roundup:CatBランサムウェア」(James Slaughter、2023年2月16日)

rget="_blank">「Ransomware Roundup:新しいCrySIS/Dharma亜種に対するその場しのぎの対応」(James Slaughter、2023年1月19日)

著者プロフィール


今野 俊一(フォーティネットジャパン 上級研究員)、James Slaughter(Fortinet Senior Threat Intelligence Engineer)、Geri Revay(FortiGuard Systems Engineer)、寺下 健一(フォーティネットジャパン チーフセキュリティストラテジスト)