暗号化型ランサムウェア「CERBER」は、2016年3月に確認されて以来、最も広く拡散している悪名高いランサムウェアの1つとなっています。「CERBER」は、拡散の手法として、クラウドサービスや Windows スクリプト ファイルの利用、あるいはランサムウェア以外の活動「分散型サービス拒否(DDoS)攻撃」の機能などを取り入れてきました。「CERBER」がまん延している理由の一つに、「サービスとしてのランサムウェア(Ransomware as a service、RaaS)」として、絶えず売買されていることが挙げられるでしょう。
トレンドマイクロが今回確認した、バージョン3.0となる「CERBER」は、ソーシャルエンジニアリングの手法として初期のバージョンが備えていた「音声を再生し脅迫する機能」を備えていました。これまでの「CERBER」亜種と同様に、この「CERBER 3.0」も「Magnitude Exploit Kit(Magnitude EK)」「Rig Exploit Kit(Rig EK)」といったエクスプロイトキットを利用して拡散されています。
ユーザは、通常、動画を再生するためにクリックし、ポップアップした広告の画面から、上述のエクスプロイトキットが組み込まれている別の Webサイトへと誘導されます。そこで最終的に「CERBER」がダウンロードされることになります。この「malvertisment(不正広告)」の活動はすでに複数の国で展開されていますが、攻撃は主に台湾へ集中しています。不正広告の活動はすでに数カ月に及んでいます。しかし、最終的に暗号化型ランサムウェア「CERBER」をダウンロードするものは、今回初めて確認されました。
Magnitude EK への誘導の場合は、簡単なスクリプトを利用して誘導していました。一方、Rig EK への誘導では、米国の正規の衣料品販売 Webサイトを表示するスクリーンショットが背後で開きます。これはおそらく広告が疑わしくないように見せる手法と考えられます。
図1:Rig EK への誘導経路
図2:Magnitude EK への誘導経路
このような差異が確認されていますが、暗号化型ランサムウェア「CERBER」としての活動は以前のバージョンと同様です。表示される脅迫状は基本的に旧バージョンのものから変化していません。
図3:「CERBER 3.0」の脅迫状
身代金支払い指示についても、ほとんど従来の亜種と同様ですが、割引の案内まで記載されています。常に変化するビットコインの相場に連動し、要求金額も変化しています。2016年3月、「CERBER」の最初のバージョンでは1.24 ビットコイン(約5万8千円。2016年3月4日当時の相場)の身代金を要求し、被害者に7日間の猶予を与えていました。今回の「CERBER3.0」は、直ちに1ビットコイン(約5万9千円。2016年9月5日現在)の支払いを要求しますが、身代金が2ビットコイン(約11万8千円)に値上がりするまでに5日間以上あります。
図4:「CERBER 3.0」の脅迫状
暗号化されたファイルは、拡張子「*.cerber3」を持つファイル名に変更されます。暗号化型ランサムウェアは、シャドウコピーも削除します。シャドウコピーのバックアップ機能によってファイルを復旧するのを不可能にするためです。そして、ファイルが暗号化されたことをユーザに知らせるため、女性の声を利用しています。この「話す」機能は最初に確認された「CERBER」亜種も備えていました。
■ トレンドマイクロの対策
バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。
- 3つ以上のコピーを保存
- 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
- そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)
こうした不正広告によって拡散するエクスプロイトキットの被害に遭わないために、インストールしているソフトウェアおよびオペレーションシステム(OS)を最新の状態にしてください。そのようにして、ランサムウェア被害だけでなく、他の様々な攻撃によるリスクも低減することができます。
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security(CAS)」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。
この脅威に関連するハッシュ値:
- C60AB834453E6C1865EA2A06E4C19EA83982C1F9 – 「RANSOM_CERBER.DLEY」として検出
- E9508FA87D78BC01A92E4FDBCD3D14B2836BC0E2 – 「RANSOM_CERBER.DLEZ」として検出
※協力執筆者:Mary Yambao
参考記事:
- 「New Version of Cerber Ransomware Distributed via Malvertising」
by Joseph C Chen (Fraud Researcher)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)