ランサムウェア「REVETON」、従来の手法に新たな感染経路を追加して感染拡大

トレンドマイクロは、2014年12月、ファイルを暗号化して身代金を要求する「Cryptoランサムウェア」の亜種が欧州を中心とした地域で急増したことを本ブログで報告しました。こうした被害は、特にスペインやフランス、トルコ、英国で確認されました。本稿では、「REVETON」として知られる別の「身代金要求型不正プログラム(ランサムウェア)」の亜種について取り上げます。このランサムウェアは、新しい感染経路で PC に侵入することが米国で確認されています。新しい感染経路とは、従来の EXEファイルでなく、DLLファイルを利用する方法です。

■「REVETON」の復活
弊社は、2014年10月から 11月の最終週にかけて、「REVETON」の亜種、特に「TROJ_REVETON.SM4」と「TROJ_REVETON.SM6.」の顕著な増加を確認しました。

弊社は、今年、モバイル端末を狙うランサムウェアの急増を報告しています。このランサムウェアの作成者は、「REVETON」を作成したサイバー犯罪者グループと同様のように思われます。最近の急増と地域の拡大を考慮すると、複数のサイバー犯罪者グループが、新しい感染経路を作り出した可能性があります。

「Cryptoランサムウェア」が脅威の全体像における主流になっていることを考えると、「REVETON」が再登場した事実は、少々驚きです。「REVETON」や PC をロックするランサムウェアは、ユーザに身代金を支払わせるために、ソーシャルエンジニアリングの手法を頻繁に利用します。

■従来の手法に新たな感染経路を追加した「REVETON」
最近増加した「REVETON」の亜種は、従来の「REVETON」つまり警察を装ったランサムウェアと同様に、感染した PC の画面をロックする機能を備えています。トレンドマイクロの製品では、これらのランサムウェアを「TROJ_REVETON.SM4」および「TROJ_REVETON.SM6」として検出します。

新しいランサムウェアの挙動は、従来の「REVETON」に類似しており、地元警察に罰金を支払う必要があるとユーザを脅迫します。「REVETON」の新しい検体の中には、米国の国土安全保障省の国家サイバーセキュリティ部門や米国移民関税捜査局サイバー犯罪センターからの警告文を表示するものもあります。これらの警告文は、「許可のないサイバー活動を行ったため、PC を一時停止した」とユーザに通知します。

図1 は、電子決済サービス「MoneyPak」経由で 300米ドル(2014年12月15日時点、35,600円)の送金を要求する警告文です。また、罰金は 48時間以内に支払わなければならないとユーザに警告しています。

図1:国土安全保障省の国家サイバーセキュリティ部門や米国移民関税捜査局サイバー犯罪センタからとする偽の警告文
図1:国土安全保障省の国家サイバーセキュリティ部門や米国移民関税捜査局サイバー犯罪センターからとする偽の警告文

弊社が、2014年10月から 11月にかけて確認した検体は、従来の「REVETON」の亜種と同様の不正活動を実行します。違いは EXEファイルではなく、DLLファイルとして侵入することです。これにより、「REVETON」の新しい亜種に感染した PC のユーザは、タスクマネージャ上で、実行中の不正なアプリケーションに気づきにくくなります。代わりにユーザは、”regsvr32” または ”rundll32” を確認します。これは、 DLLファイルをプログラムのように実行するための一般的な方法です。

弊社のクラウド型セキュリティ基盤弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からの情報によると、健康関連業界がこのランサムウェアの被害を最も受けており、主に米国に集中しています。次にオーストラリアが続いています。図2 は、2014年10月から 11月にかけて、「REVETON」の新しい亜種の被害を最も受けた上位国を示しています。

図2:「TROJ_REVETON.SM4」および「TROJ_REVETON.SM6」の被害を受けた上位国
図2:「TROJ_REVETON.SM4」および「TROJ_REVETON.SM6」の被害を受けた上位国

■継続的に利用される警察を装ったランサムウェア
警察を装ったランサムウェアは、ドイツ語やスペイン語、イタリア語、フランス語で記載された偽の警察の警告文を利用し、長期に渡って欧州で何度も試行された手法です。今回、「REVETON」が米国のユーザを狙いとしたのは、興味深いことです。なぜならサイバー犯罪者は、米国ユーザ向けにランサムウェアを作り上げたと考えられるためです。その対象には、「REVETON」のような PC をロックするランサムウェアになじみのないユーザも当然含まれます。

「REVETON」の最近の増加は、「REVETON」を作成したサイバー犯罪者集団がいまだ活動を続けているか、当時の基盤がまだ利用可能で、他のサイバー犯罪者グループがその「おこぼれ」をかき集めようとしているのかもしれません。こうしたサイバー犯罪者グループは、「Bitcoin(ビットコイン)」といった仮想通貨の使用方法を知らず、MoneyPak のような従来の送金方法になじみがあるユーザ層を狙いとしていると考えられます。

■トレンドマイクロの対策
警察を名乗る機関からのメッセージを突然受信すれば、ユーザは驚くかもしれません。しかし、これはユーザを脅迫し金銭を支払わせようとする手法にすぎないことを覚えておいて下さい。PC のロックを解除し、再び起動するために、ユーザは身代金を支払いたくなるかもしれません。残念ながら、身代金を支払ったところで PC のロックが解除される保証はありません。身代金の支払いによって保証されるのは、サイバー犯罪者の懐に金銭が入ることだけです。

ランサムウェアは、さまざまな方法で PC に侵入することができるため、警戒を怠らないようにし、適切なセキュリティ対策製品などでPCを保護する必要があります。セキュリティ対策製品は、ランサムウェアだけでなく、さまざまな亜種を作成するその他の不正プログラムも検出し、阻止するでしょう。

ランサムウェアの亜種には、スパムメールに添付されて侵入するものもあります。そのため、ユーザは、Eメールや添付ファイルの開封にも警戒する必要があります。特に送信元が不明なものには十分に警戒して下さい。銀行やその他の正規の機関から送信されたように見える Eメールの場合は、ユーザは当該機関に問い合わせて下さい。 知り合いから送信された場合は、送信者に確認して下さい。友人や家族の間柄だからという理由で簡単に信頼しないで下さい。その Eメールがスパムメールである可能性があります。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:David SanchoおよびJamz Yaneza

参考記事:

翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)