一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、今年に検出された、比較的新しい3つのランサムウェアを紹介します。
- DoDo ランサムウェア
- Proton ランサムウェア
- Trash Panda ランサムウェア
DoDo ランサムウェア
DoDo ランサムウェアは2023年2月に初めて報告され、調査の結果Chaosランサムウェアの亜種と判定されました。そのため厳密には最新のランサムウェアとはみなされませんが、最近このDoDo ランサムウェアをベースにした亜種も発見されているため、注意すべきランサムウェアの一つと言えます。
Chaosに関しては、第5回「マルウェアを装う反ロシア色強い“スケア(怖がらせ)ウェア”に注意」で解説しているので、こちらも参照ください。
DoDo ランサムウェアとその亜種の共通点は、いずれも「Chaos Builder」のバージョン3を使用して開発されていることです。ここで注目したいのは、このランサムウェア開発ツールで暗号化できるのは1MB未満のファイルに限られ、それ以上のサイズのファイルは上書きされて復号できなくなるということです。そのためDoDo ランサムウェアとその亜種で暗号化されたファイルの多くは、身代金を支払っても元に戻せません。
DoDo ランサムウェアに感染すると、感染マシン(Windows)のファイルを暗号化し(1MB以上のファイルに対しては実質的にワイパーマルウェアとして動作)、「PLEASEREAD.txt」というランサムノートを残した上で、デスクトップの壁紙を以下のように書き換えます。
このランサムウェアでもう1つ注目したいのが、「Mercurial Grabber」というオープンソースのマルウェア開発ツールを装って配布されていることです。アイコンも以下のように、Mercurial Grabberのものを使用しています。
Mercurial Grabberは2021年6月3日にGitHubに投稿されたもので、ターゲットのマシンからDiscordトークンやマシン情報、Windowsプロダクトキー、Chromeパスワードなどを盗む機能を装備しています。投稿者は「教育目的でのみ使用することを意図している」と述べていますが、実際には攻撃者も積極的に悪用しています。なおGitHubとは、オンラインで使えるソフトウェア開発プラットフォームであり、開発したソフトウェアのソースコードなどを共有する目的でも広く活用されています。
Mercurial Grabberはそのソフトウェアの特性上、好奇心旺盛なユーザーやDoDo ランサムウェアのような攻撃者がダウンロードしていると考えられます。そのため一般的なインターネットユーザーが感染する危険性は、それほど高くないとも言えます。しかし、アイコンを偽装して他のソフトウェアになりすますことは容易なため、「自分は関係ない」と思わないことが重要です。
Proton ランサムウェア
Proton ランサムウェアも比較的最近になって報告されたランサムウェアです。一般的なランサムウェアと同様に、Windowsのファイルを暗号化して身代金の支払いを要求します。FortiGuard Labsの調査では、最も初期のサンプルは2023年3月下旬にリリースされたと推測され、同年6月下旬には既にProton ランサムウェアの新しい亜種も報告されています。
現状「Proton ランサムウェアが猛威を振るっている」という兆候は見られませんが、Proton ランサムウェアのサンプルは多くの国で検出されています。具体的には、米国、イタリア、インド、中国、韓国、エストニア、オランダ、ドイツ、ロシア、ウクライナで検出されていますが、これは攻撃者が世界のさまざまな地域で、このランサムウェアを配布する手段を有していることを示しています。
上記の国名リストに日本は含まれていませんが、日本にとっても他人事でないことは、言うまでもありません。
Trash Panda ランサムウェア
Trash Panda ランサムウェアは、2023年8月に発見された、非常に新しいランサムウェアです。Windowsマシンに感染し、そのファイルを暗号化してデスクトップの壁紙を以下のように書き換えます。先程紹介したDoDo ランサムウェアのおどろおどろしい壁紙と比較すると、こちらの見た目はやや愛らしいですが。
このランサムウェアで注目したいのは、ランサムノートに政治的意図と受け取れる内容が記載されていることです。
大まかに翻訳すると、次のようになります。
取引をしよう。あなたには私たちの仲間を解放してほしい。私たちはあなたのデータを解放する。
(中略)
あなたのデータやお金には興味がない。私たちが求めているのは、私たちの家族を返してもらうこと、そしてあなたが私たちの母国から出て行くことだ。
断定はできませんが、このランサムウェアの出処や標的とする相手国について何らかの手掛かりを示すメッセージとなっています。
これらのランサムウェアについて、もっと詳しく知りたい方に
今回紹介したように、ランサムウェアは次々と新しいものが登場しています。その最新状況をキャッチアップすることは、セキュリティ担当者にとって不可欠な仕事だと言えます。しかし、一般的なビジネスパーソンにとっても新しいランサムウェアがどのように配布されているのか、感染するとどのような挙動を示すのか、といった情報を知っておくのは、被害を初期段階で食い止めることに貢献するはずです。
本稿で紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。
DoDo ランサムウェア、Proton ランサムウェア
「Ransomware Roundup:DoDoとProton」(Shunichi Imano and James Slaughter、2023年8月3日)
Trash Panda ランサムウェア
「Ransomware Roundup:Trash PandaとNoCry新型亜種」(Shunichi Imano and James Slaughter 、2023年8月17日)
著者プロフィール
今野 俊一(フォーティネットジャパン 上級研究員)、James Slaughter(Fortinet Senior Threat Intelligence Engineer)、寺下 健一(フォーティネットジャパン チーフセキュリティストラテジスト)