ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は、以下の4つのランサムウェアを紹介します。

  • プーチン・ランサムウェア
  • Montiランサムウェア
  • BlackHuntランサムウェア
  • CrySIS/Dharmaランサムウェア

プーチン・ランサムウェア

プーチン・ランサムウェアの「プーチン」は、ロシア大統領のウラジミール・プーチンのことです。このランサムウェアが残すノートには、身代金支払い交渉のためのものと、被害者から盗んだデータを公開するための、2つのTelegramチャネルが記載され、そのサムネイル(ユーザー写真)に、プーチン大統領の写真が使われています。

Telegramとは、海外に多数のユーザーがいるロシア発の無料メッセージアプリ(SNS)で、サイバー犯罪者もこれを好んで利用する傾向があります。

このランサムウェアで暗号化されたファイルには「.PUTIN」という拡張子が付けられます。またファイルを暗号化するだけでなく窃取も行い、それを流出させるという二重脅迫を行います。身代金要求のノートには、身代金支払いの猶予が2日しかないと記載されていますが、これは被害者に早く身代金を支払うよう促すために、多くのランサムウェアが使う戦術です。

データ流出用のTelegramチャネルには、2023年1月時点でシンガポールとスペインの会社が記載されていました。しかし、投稿日付は2022年11月下旬までしか遡れなかったため、この亜種はまだ活動を開始したばかりである可能性が高いと推測されます。

Montiランサムウェア

ランサムウェアはWindowsをターゲットとするものが多いですが、MontiはLinuxシステム上のファイルを暗号化するランサムウェアです。Montiによって暗号化されたファイルには「.puuuk」という拡張子が付けられ、「README.txt」という身代金要求のメモが残されます。

さらに、感染したマシンで暗号化したファイルの数を記載した「result.txt」というファイルも残されます。なおファイルの暗号化だけではなく、ファイルの窃取を行うことも、このランサムウェアの特徴となっています。

一般的なランサムウェアとの違いは、被害者から盗んだデータを流出させるためのサイトと、身代金交渉のためのサイトが、異なるTORサイトで運営されていることです。TORサイトとは、インターネット検閲などを回避するため、IPアドレスの匿名性を確保したサイトのことです。

2023年1月時点では、身代金交渉用のサイトにはアクセスできませんでしたが、データ流出サイトにはアクセスできています。このサイトには「不名誉の殿堂(Wall of Shame)」というページがあり、アルゼンチンの被害者1名を除き、全ての被害者が「協力的に」身代金を支払った、といった意味のメッセージが表示されています。

この「不名誉の殿堂」というページは、Ragnar Locker などのランサムウェアサイトで見られるものです。そのため、Montiランサムウェアは、これらのランサムウェアからのコピーである可能性があります。

また、前述の「README.txt」の内容も、Contiランサムウェアのものと類似しています。Ragnar Lockerは2019年に台湾のメモリ製造メーカーへの標的型攻撃で有名になったランサムウェアで、Contiは多数の医療機関を標的に攻撃を行い、米国務省が最大1000万ドルの懸賞金をかけたほどの悪名高いランサムウェアです。

なお被害報告はLinuxシステムのものですが、Windowsで動作するMontiの亜種が存在する可能性も報告されています。