Linuxを標的とするGoで開発されたMaoriランサムウェアに注意

ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は以下の5つのランサムウェアを紹介します。

HardBit 2.0 ランサムウェア
Dark Power ランサムウェア
Kadavro Vector ランサムウェア
UNIZA ランサムウェア
Maori ランサムウェア

HardBit 2.0 ランサムウェア：ファイル暗号化の手法がユニーク

HardBitランサムウェアは2022年10月に発見され、その直後の2022年11月には進化版である「HardBit 2.0」が登場しました。これは、一般的なランサムウェアと同様に被害者のファイルを暗号化して身代金を要求するとともに、身代金が支払われない場合には機密情報を公開するという脅しをかける、いわゆる「二重脅迫」を行います。

Varonis社の報告によれば、このランサムウェアはかなり周到に設計されています。まず、実行されている環境がサンドボックス（マルウェア解析のために実環境と隔離された環境）でないことを確認した上で、Windowsのセキュリティ機能であるWindows Defenderを無効化。

加えて、Windowsが実行している数多くのサービスを停止します。サービスを停止する理由は、各種サービスがファイルを使用していることで書き込みがロックされ、暗号化できないという状況を回避するためです。さらにOSが再起動した場合も、攻撃を継続できるようにしています。

これらの準備を終えた後でファイルの暗号化を実施。これが完了するとHTAファイルを実行し、以下の画面を表示します。なおHTAとは「HTMLアプリケーション」の略称であり、動的なウェブページを作成する技術によって、簡易的なアプリケーションを作成できる、というものです。

このランサムウェアには、用意周到な準備を行うことに加えて、さらに2つのユニークな特徴があります。

第1の特徴は、被害者がサイバー保険に加入しているなら匿名で共謀して保険会社を欺こうという提案が、ランサムノート（身代金要求書）に記述されていることです。そのため、ランサムノートには身代金の金額が明記されておらず、攻撃者に対して保険内容の詳細を伝えることが求められています。これは、保険契約の支払額上限を知ることで、それを超えない身代金を要求するためです。当然ながら、このような要求に応じてはいけません。

第2の特徴は、ファイル暗号化のやり方です。一般的なランサムウェアは、暗号化したファイルを作成・保存し元ファイルを削除する、という方法でファイルを暗号化します。これに対してHardBit 2.0では、 Varonis社の報告によると、元ファイルに暗号化したデータを上書きするため、ファイルの復元を難しくするという効果があります。元ファイルを削除する方法では、元ファイルのデータがどこかに残っている可能性がありますが、上書きではその可能性がなくなるからです。

Dark Power ランサムウェア：プログラミング言語「Nim」で開発

Dark Powerは2023年2月上旬に検出された、比較的新しいランサムウェアです。作成されたのは2023年1月29日であることがわかっており、その日のうちに攻撃が始まっていたようです。感染すると、ファイル暗号化を阻害する可能性がある各種サービスを停止した上で、ファイルの暗号化を実行します。ファイル暗号化が完了すると、以下のようなランサムノートを残します。これは図解を含む、かなり長文のPDFファイルとなっています。

要求されている身代金は、1万米ドル相当の「Monero」という暗号資産です。これは2014年に誕生した仮想通貨で、匿名性の高さが大きな特徴です。つまり。身元を隠しながらやり取りできるのです。なお、Moneroとはエスペラント語で「硬貨」「コイン」を意味します。

このランサムウェアの最大の特徴は「Nim」というプログラミング言語で作成されている点です。これは2008年に開発が始まった言語であり、プログラミング言語の世界では極めて新しいものです。

近年のランサムウェアはPythonなどのスクリプト言語で作成されることが多いのですが、Nimの記述方法はPythonに非常に近く、Pythonに慣れているプログラマーであればすぐに使いこなせます。しかも、Nimにはコンパイラ（高速実行できるようにプログラム内容をあらかじめ翻訳しておくプログラム）が用意されており、Pythonに比べて数十倍の速度で実行可能です。

Nimはまだ知名度が低く、日本語版の解説書が出版されたのも2021年8月であり、これを使っているプログラマーは現状では決して多くはありません。しかし「Pythonと同じように記述できる」「Pythonの数十倍も実行速度が速い」という特徴は、大きな魅力と言えます。今後はNimで作成されたランサムウェアも、数多く登場する可能性があります。

Kadavro Vector ランサムウェア：「WannaCry」の亜種

皆さんは「WannaCry」というランサムウェアを覚えているでしょうか。2017年にこれを使った大規模なサイバー攻撃が行われ、世界150カ国、23万台以上のコンピュータが感染したと言われています。

WannaCryは「SMB」と呼ばれるWindowsのファイル共有プロトコルの脆弱性を悪用していましたが、実はその脆弱性は前年9月にリリースされたパッチによって解決されていました。それでもこれだけ被害が広がったのは、パッチを適切なタイミングで適用していないユーザーが、意外と多かったことを示しています。

その後はこれを教訓に、適切なパッチ適用の重要性が再認識されるとともに、感染することを前提にしたマルウェア対策に取り組む組織も増え、EDRのようなセキュリティソリューションへの注目度も高まっていきました。

他方、世の中から大きな注目を集めたWannaCryは、サイバー攻撃者にも大きな影響を与えることになりました。WannaCryに「触発された」マルウェアが、その後数多く登場することになったのです。その一つが「NoCry」というランサムウェアであり、今回紹介するKadavro Vectorは、このNoCryの亜種なのです。

Kadavro Vectorの最近の亜種は、Torブラウザの偽のインストーラーとして、次のようなアイコンと共に配布されています。