ビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介するこのシリーズ。今回は、以下のランサムウェアを紹介します。

  • KageNoHitobitoランサムウェア
  • DoNexランサムウェア

KageNoHitobitoランサムウェア

KageNoHitobitoランサムウェアのサンプルは、2024年3月下旬にチリ、中国、キューバ、ドイツ、イラン、リトアニア、ペルー、ルーマニア、スウェーデン、台湾、英国、米国から提出されました。感染経路としては、攻撃者が偽のソフトウェアやゲームのチートファイルとしてファイル共有サービスにアップロードし、それをダウンロードすることで感染した可能性があると推測されています。

このランサムウェアも他のランサムウェアと同様、被害者のマシン上のファイルを暗号化し、それを元に戻すための身代金を要求します。ただし、攻撃者は「被害者の情報を盗んでいない」と主張しており、データ流出サイトも運用されていないため、近年増えている「二重恐喝型」ではないと考えられます。暗号化されたファイルには「.hitobito」という拡張子が追加されます。

このランサムウェアで注目すべきポイントは、大きく2点あります。第1に、2024年3月21日から14日以上経過すると(つまり2024年4月4日以降は)、実行を続行しないように設計されていることです。以下の画面の赤線で囲んだコードが該当部分です。

第2に、ランサムノートの中の、「AbleOnionチャットプラットフォーム(主要なダークWebチャットプラットフォームの1つ)を使用するTORサイトにアクセスし、チャットルームに参加せよ」という指示が記載されているものの、このチャットルームは身代金交渉とは無関係だということです。以下はそのランサムノートです。

ランサムノートを邦訳すると、次のようになります(URLには決してアクセスしないでください)。

おっと、あなたのファイルは「影の人びとグループ」によって暗号化されました! あなたの大切なファイルや書類は、すべて私たちによって暗号化されています。 ステップ1: 現在のデスクトップで、デフォルトのブラウザを開いてください。 そこでTor Browserを検索するか、hxxps://torproject[.]org/にアクセスしてください。 もしTorにアクセスできない場合は、VPNを使ってTorにアクセスしてください。 そしてTor Browserにダウンロードし、ステップ2に従ってください。 ステップ2: グループチャットに移動し、ユーザー名リストから「Hitobito」を選択してください。 あなたの状況とファイルの対価をメッセージで伝えてください。 hxxps://torproject[.]org/ プライベートメッセージのやり方がわからない場合は、チャットに尋ねてください。 ただし、チャットの中にあるリンクをクリックしたり、彼らの議論に参加したりすることは、おすすめしません。 ステップ3: ここがコンピュータを素早く復元する上で、重要なステップです。 正しく交渉し、身代金を支払っていただければ、解読ソフトを送ります。 ただし、他のメンバーが「Hitobito」になりすます可能性もあるため、注意してください。

このランサムノートを読むと、このチャットグループが身代金交渉の場のように受け取れます。しかし、実際には指定されたチャットルームはKageNoHitobitoランサムウェアに特化したものではなく、そこで進行しているグループチャットも身代金要求とは無関係なのです。

なお、「KageNoHitobito」は日本語の「影の人々」と読むことができ、日本の何らかのコンテンツとの関係も示唆されますが、調査時点では関連するコンテンツの特定はできていません。

英訳すると「Shadow People」となりますが、これは「人の形をした真っ黒な影に似た物体が出現する怪奇現象またはUMA(未確認動物)の一種」とされており、2006年頃から一種の都市伝説として語られるようになり、現在でも世界各地で同じような現象が目撃されていると言われています。