FF7の『神羅カンパニー』を想起させるShinraランサムウェアに注意

一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、以下のランサムウェアを紹介します。

Shinra ランサムウェア
Limpopo ランサムウェア

Shinraランサムウェア

Shinraランサムウェアは、一般公開されているファイルスキャンサービスに、2024年4月に初めてサンプルが提出されたものです。サンプルの提出元は、イスラエル、ポーランド、ロシア、英国、米国です。

このランサムウェアを使うサイバー攻撃者は、ランサムウェアを実行してデータを暗号化する前に、被害者のデータを盗み出す、いわゆる「二重恐喝」型の攻撃手法を使用します。また、ShinraランサムウェアのターゲットはWindowsで、指定されたボリュームの内容を自動的にバックアップする「ボリュームシャドウコピー」を削除するため、データの復旧は困難です。

これまで紹介してきた事例にもあったように、サイバー攻撃者はアニメやゲームのキャラクターや組織の名前を使用することが多いです。Shinraと言えば、スクウェア（現在のスクウェア・エニックス）が1997年に発売した「ファイナルファンタジーVII」に登場する、「神羅カンパニー」という架空の大企業を想起させます。このため、当初はこのランサムウェアもその類のサイバー攻撃者による使用が疑われましたが、明確な関連性は見つかっていません。

Shinraランサムウェアのサンプルは、すでに複数提出されています。その1つは、まず自分自身をユーザーのスタートアップフォルダにコピーし、ファイルの暗号化などの妨げになりそうな複数のプロセスとサービスを停止させます。さらに、Windowsがシステムやアプリケーションの設定データなどを管理するための仕組みであるレジストリの設定を変更し、デスクトップの壁紙を以下のように書き換えてしまいます。

データ復旧のために連絡すべきサイバー攻撃者のEメールアドレスが、デスクトップに大きく表示される他、いくつかのレジストリ設定が変更されます。

また、システム挙動に影響を与えると考えられるファイルなどを除外した上でファイルの暗号化を実行し、ボリュームシャドウコピーを削除します。この亜種は暗号化したファイルに「.SHINRA2」という拡張子を追加していますが、他にも「.SHINRA3」「.SHINRA7」「.SHINRA9」という拡張子を追加する亜種が見つかっています。

暗号化されたファイルのアイコンを、以下のように変更する亜種もあります。

さらに、「ブートステータスポリシー」の設定をブート時にエラーが発生しても正常起動するように変更し、コマンドを使ってWindowsの回復と修復機能を無効化します。その後、ランサムウェアが管理者権限で実行されるように、「runas admin」を使って自身を再起動させます。

最後に、以下のランサムノート（身代金メモ）を残し、Eメールで攻撃者に連絡するよう、被害者に要求します。

もちろん身代金を支払ったからといって、データが復旧できるとは限りません。また身代金の支払いは、反社会的組織への資金供与として違法行為の助長とみなされる危険性もあるため、絶対に避けるべきです。

Limpopoランサムウェア

FortiGuard Labsは2024年3月に、アジアの法執行機関から「Socotra」と名付けられたランサムウェアに関する問い合わせを受けました。2024年6月の時点でもまだSocortaランサムウェアのサンプルは見つかっていませんが、この調査の過程で、Socortaと関連性のあるランサムウェアとして浮上してきたのがこの「Limpopoランサムウェア」です。

ちなみに、これらの名称との関連性は不明ですが、Socortaは中東にあるイエメン共和国の島（ソコトラ島）、Limpopoは南アフリカ共和国の州（リンポポ州）の名称でもあります。

Limpopoランサムウェアは、公開されているファイルスキャンサービスに2024年2月に提出されたもので、VMwareのESXi環境をターゲットにしています。またLimpopoランサムウェアの亜種と考えられるものとしては、Socortaの他にもAkgum、Aktakyr、Bulanyk、Formosa、Hatartam、Monjukly、Sakgar、Sazandaなどがあります。

このランサムウェアの挙動は、比較的単純です。実行されるとまず、データやログなどを格納している複数のファイルを暗号化し、「.LIMPOPO」という拡張子を追加します。その後、以下のように、攻撃者のURLと簡単なメッセージを記載したランサムノートを残します。

（引用） Hi. We have your data. If you don't cooperate it will be made public. Go to hxxps://getsession[.]org/ Download install then add [removed] mention this code LIMPOPO in your message get in touch with us

※上記のURLは、ここから直接アクセスできないように、一部加工してあります。

Socortaランサムウェアの亜種は未確認ですが、そのランサムノートは入手しており、Limpopoランサムウェアと酷似した内容であることを確認しています。

また、真偽は未検証ですが、Socotraランサムウェアが悪用している脆弱性を修正するセキュリティパッチに関する情報が、X（元Twitter）に投稿されています。

大まかに和訳すると「cve20204-22252とcve-20204-22253のパッチを必ず適用せよ、さもなくばSOCOTRAランサムウェアがあなたのイード休暇を破壊するであろう」という内容です。イードとはイスラム教における祝賀の時期であり、「イード・アル・フィトル」と「イード・アル・アドハ」という、1年に2回のイード休暇があります。投稿の日付は5月14日なので、ここでいうイード休暇は、本年は6月17日にあたったイード・アル・アドハを指すのでしょう。

なお「cve20204-22252」は「cve2024-22252」、「cve-20204-22253」は「cve-2024-22253」のタイプミスと考えられます。これらの脆弱性に対するパッチは、すでに2024年5月に提供されています。まだ未適用であれば急いで適用されることをおすすめします。