Trend Microは8月25日(現地時間)、「New Golang Ransomware Agenda Customizes Attacks」において、Go言語で記述された新しいランサムウェアに関する調査結果を公開した。「Agenda」と名付けられたこのランサムウェアは、アジアとアフリカの医療機関および教育機関を標的とした攻撃に用いられており、Trend Microの研究チームが入手したサンプルから、被害者ごとにカスタマイズされていることが分かったという。

研究チームによると、Agendaは感染に成功するとシャドーボリュームのコピーを削除し、さらにサーバ固有の多数のプロセスとサービスを停止させるという。停止されるプロセスとサービスの一部は、ウイルス対策に関連したもので、これによって検出や暗号化の防止を回避できるようになる。その後、デフォルトのユーザーのパスワードを変更した上で新しいログイン資格情報による自動ログインを有効にし、マシンをセーフモードで再起動する。再起動後に暗号化を実行して、完了後にマシンを通常モードで再起動する。

Agendaランサムウェアグループが身代金として要求する金額は組織ごとに異なり、50,000米ドルから800,000米ドルの範囲だという。研究チームが入手したサンプルには、被害者のアカウントや顧客パスワード、一意の企業IDなどが含まれており、このことからAgendaはそれぞれの被害者向けにカスタマイズされて使用された可能性が高いとのことだ。

  • Agendaランサムウェアグループによる身代金交渉の例(引用: Trand Micro)

    Agendaランサムウェアグループによる身代金交渉の例 引用:Trand Micro

調査対象となったインシデントの1つでは、公開されているCitrixサーバが攻撃のエントリポイントとして使用されていたことが判明している。攻撃者がCitrixサーバにアクセスしてから被害者がランサムウェアに感染するまでにかかった期間は2日未満と推定されている。

  • 観測されたAgendaランサムウェアの攻撃チェーン(引用: Trand Micro)

    観測されたAgendaランサムウェアの攻撃チェーン 引用:Trand Micro

Go言語で記述されたランサムウェアは、Agenda以外にもこれまでに「BlackCat」や「Hive」、「Luna」などが発見されている。Trend Microのレポートでは、ランサムウェアの攻撃者がGo言語を使用するのは一般的になってきていると伝えられている。その理由は、Go言語には必要なライブラリを静的にコンパイルする機能があるため、セキュリティ分析を困難にする効果があるからとのことだ。