マルウェアを装う反ロシア色強い“スケア(怖がらせ)ウェア”に注意

ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は以下の4つのランサムウェアを紹介します。

ALCランサムウェア：Chaos系ながら反ロシア色強い“スケア(怖がらせ)ウエア”
Sirattackerランサムウェア：イーサリウムのマイニングアプリとして配布
Trigonaランサムウェア：身代金支払までのサポートが手厚い二重恐喝
CatBランサムウェア：身代金1億円超レベルで暗号化までの事前チェックが入念

ALCランサムウェア

ロシア・ウクライナ戦争の勃発以来、一部のランサムウェアやハッキンググループは自分たちがどちらの側につくのかを公に宣言しています。こうした行為は、内部的には脅威行為者グループ内の不和を引き起こし、また対外的には、組織は戦争の政治的性質から標的にされることを恐れるため、緊張を生み出しました。

親ロシアであると宣明して注目された例としては、2022年2月にロシアを支援し、西側諸国に属する重要なインフラに対し正式に報復宣言をしたConti RaaS (サービスとしてのランサムウェア)などが知られています（参考：英文ブログ：What is Ransomware-as-a-Service (Raas)?）。

一方で、「反ロシア」と見られるランサムウェアも存在します。その一つが最近発見された「ALCランサムウェア」です。このランサムウェアの身代金要求ノートには、ロシアとその関係国がターゲットであることを明記した英文が記載されています。この記述にはスペルミスが目立ち、攻撃者が英語のネイティブスピーカーではないことを示唆しています。

また、この身代金要求ノートは被害者に対し、サイバー犯罪者が好んで使用するロシア発のチャットツール「Telegram」で攻撃者に連絡することを求めますが、具体的な連絡先や身代金金額の記載はありません。

ALCランサムウェアの中には「AlcDif.exe」という実行可能ファイルを生成するものがあります。これを実行すると、以下のようにフルスクリーンで脅迫文が表示され、その中には連絡先や攻撃者の暗号資産ウォレットの情報、身代金の金額、QRコードなどが記載されています。ただし、このQRコードが機能しない、身代金の記述が複数ありそれらの金額に齟齬があるなど、一貫性に欠ける内容になっています。

このランサムウェアの興味深い点は、ランサムウェアであるかのように見せながら、実際にはファイルの暗号化を行わないことです。つまり厳密に言えば、このマルウェアはランサムウェアではなく「スケアウェア（被害者を怖がらせて金品を要求するマルウェア）」だと言えます。しかし「身代金を要求する」という側面から見れば、広い意味でランサムウェアとも言えます。

なお、実際にファイルの暗号化は行わないものの、攻撃対象のマシンに存在するファイルのリスト作成や、暗号化のための鍵生成などは実行されています。先程指摘した「身代金要求ノートの不完全さ」も考慮すれば、まだ完成形ではないβ版である可能性も考えられます。

Sirattackerランサムウェア

Sirattackerランサムウェアは、Chaosと呼ばれるランサムウェアの亜種の一つです。

まず簡単に、Chaosランサムウェアについて説明しておきます。このランサムウェアを理解することで、ランサムウェアの代表例の一つの系譜を俯瞰でき、その亜種の位置づけや特徴も理解しやすくなるからです。

Chaosランサムウェアが最初に発見されたのは2021年6月であり、当初は「Ryuk .Net Ransomware Builder v1.0」という名称のランサムウェアビルダー（ランサムウェアの亜種を生成するためのツール）として登場しました。Ryukは2018年頃に登場したランサムウェアファミリーであり、最初はその系譜に連なっていることを示していたのです(Ryukはロシアのサイバー犯罪者グループが運用していると考えられており、かなり猛威を振るったランサムウェアです）。

その後、Chaosはすぐに「Chaos Builder Version 1.0」へと名称変更し、新たなランサムウェアファミリーであることを主張するようになります。Version 2までは暗号化機能を装備せず、ファイル破壊を行う「ワイパー型マルウェア」でしたが、Version 3からファイル暗号化の機能を装備し、一般的なランサムウェアと同等の機能を持つようになりました。2022年初頭までに、Version 5までバージョンアップしました。2022年5月には名称を「Yashma」に変更していますが、現在でもこのランサムウェアファミリーは「Chaos」と呼ばれることが多いようです。

Chaosのビルダーは、いわゆる「闇サイト」で簡単に入手でき、これによってランサムウェアの亜種を簡単に作り出すことも可能です。その亜種の中には「親ロシア」を明言し、攻撃対象のファイルを、暗号化ではなく破壊してしまうものが目立ちます。実際には身代金も要求しますが、最大の目的は政治的な動機から、敵対するターゲットに対する破壊活動と言えます。なおChaosの亜種には、日本のMinecraftユーザーをターゲットにしたと思われるものも見つかっており、決して他人事とは言えない状況です。

さて、本項主題のSirattackerは、このChaosランサムウェアの亜種です(ただし、Sirattackerランサムウェアによる攻撃者は、ウクライナ/ロシア戦争関連のメッセージは出していません。Chaosランサムウェアの亜種は、攻撃者がChaosビルダーを使って作るものであるため、その使用目的やターゲットは攻撃者ごとに異なります)。

Sirattackerの興味深い特徴としては、ランサムウェアのアイコンにイーサリウムファイルのアイコン(下図参照)が使われ、中にはファイル名が「ETHnnn.exe」（nnnは3桁の数字）になっているサンプルもあることです。このことから推測される経路は、まず暗号通貨であるイーサリウムのマイニングアプリとして配布され、これをダウンロードしたマシンが感染する、というものです。

もう1つ興味深いのが、データを破壊することが多いChaosファミリーながら、Sirattackeはデータを破壊せず暗号化する点です。身代金要求のノートには、攻撃者に電子メールで連絡するよう指示があり、感染するとその内容がコマンドプロンプトの画面に表示されると共に、デスクトップの壁紙も以下のように書き換えられます。