ScareCrow ランサムウェア

ScareCrowも感染マシン上のファイルを暗号化する、典型的なランサムウェアです。感染マシンに残される身代金要求書には金銭的な要求が記載されていませんが、代わりに攻撃者との会話用に「Telegram」というチャットサービスの3つのチャネルが記載されています。

2013年にリリースされたチャットサービスは、LINEやSkypeのように、メッセージや音声で相手とコミュニケーションできます。日本のユーザーは少ないものの、世界的には多くのユーザーが使用しているサービスです。なお2022年12月の時点では、この3つのチャネルを使うことはできませんでした。

ScareCrowで注目したいのは、Conti ランサムウェアといくつかの類似点があることです。Contiは2020年5月に発見されたランサムウェアで、多数の医療機関を問答無用で標的にするなど、凶悪性が高い点が大きな特徴です。

両者の類似点は、いずれも「ChaCha」というアルゴリズムでファイルを暗号化することと、Windowsのファイルバックアップであるシャドーコピーを削除することです。

ChaChaは「Salsa20」という暗号アルゴリズムを開発したダニエル・ジュリアス・バーンスタイン氏によって開発され、Salsa20を発展させたものとして2008年に発表されました。知名度はまだ決して高いとは言えませんが、専用ハードウェアを使わないソフトウェア処理でも高速な暗号化が可能であり、インターネット通信の暗号方式の一つとして採用されています。

Contiのソースコードは2022年初頭に流出したと伝えられていますが、ScareCrowがそのコードを参考にしている可能性は否定できません。しかし重要な相違点も見つかっているため、単純な亜種とは言い切れない部分もあります。

なお、このランサムウェアのファイルは、ドイツ、インド、イタリア、フィリピン、ロシア、米国と、数多くの国・地域で見つかっており、かなり広く普及していることがわかります。

AERST ランサムウェア

AERSTはFortiGuard Labsが最近遭遇した、新しいランサムウェアです。暗号化したファイルには「.AERST」という拡張子が付加されます。また、一般的なランサムウェアが身代金要求のメモを残すのに対し、メモを残さずに攻撃者のメールアドレスを記載したポップアップウィンドウを表示する点も、特徴的と言えます。

このポップアップには、暗号化されたファイルの復号に必要なキーを入力するフィールドも用意されています。なおこのランサムウェアはシャドーコピーも削除するため、ファイルの復元は困難です。

Play ランサムウェア

Playは2022年6月に初めて検出され、ランサムウェアの中では比較的新しいものです。一般的なランサムウェアと同じように、ファイルを暗号化して身代金を要求します。また感染経路も、多くのランサムウェアと似ています。なお身代金が支払われない場合には、そのデータをインターネット上で公開するという、二重脅迫も行います。

このランサムウェアの実行ファイルは、Microsoft Visual C++で作成されています。そのコードの中には、調査を遅らせるためのアンチデバッグ機能やアンチ解析機能が含まれています。この実行ファイルを起動すると、システムファイルは暗号化せず、個人文書や業務文書などを暗号化し、「.PLAY」という拡張子を付加します。

暗号化が完了すると「ReadMe.txt」というメモがCドライブのルートに残されます。このメモには、攻撃者グループのURLと、連絡先メールアドレスが記載されています。

攻撃者グループのURLには、Playを感染させたとされる組織のリスト、支払いを拒否した組織のリスト、二重脅迫によってファイルが公開されるまでのカウントダウン、攻撃者へのコンタクト先、攻撃内容を大まかに説明したFAQ、被害者がデータを復元するための手順などが掲載されています。

2022年12月の時点で「アクティブな被害者」として7つの組織、データを漏洩したとされる13の組織が掲載されており、その所在地はアジア、南北アメリカ大陸、欧州など、幅広い地域に広がっています。なお、偶然かもしれませんが、旧ソビエト諸国の企業や組織はこの中に含まれていません。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

Cryptoniteランサムウェア

「Ransomware Roundup:Cryptoniteランサムウェア」

Vohuk ランサムウェア(新たな亜種)、ScareCrow ランサムウェア、AERST ランサムウェア

「Ransomware Roundup:Vohuk、ScareCrow、AERSTの新型亜種」(Shunichi Imano and Fred Gutierrez、2022年12月8日)

Play ランサムウェア

「Ransomware Roundup:Playランサムウェア」(Shunichi Imano and James Slaughter、2022年12月22日)

著者プロフィール


フォーティネットジャパン 寺下 健一(チーフセキュリティストラテジスト)、今野 俊一(上級研究員)、James Slaughter(Fortinet Senior Threat Intelligence Engineer)