「CERBER」の作成者およびこのランサムウェアを利用するサイバー犯罪者は、自身の利益をより増やすことに余念がないようです。このランサムウェアは、バージョン 4.0から、企業に大きな影響を与えるデータベースファイルの暗号化機能を追加しています。整理された情報を保管する収納庫であるデータベースは、企業が保持する情報を保管・検索・分類・分析・管理することを可能にします。効果的に利用すれば、企業の効率アップに役立つデータベースですが、これらの重要なファイルを人質に取られれば、ビジネスの運営と収益に損害を受ける恐れがあります。
即日利用開始できる「Ransomware as a service(RaaS)」としてサイバー犯罪初心者に販売されている「CERBER」は、初めて確認されて以来、さまざまなバージョンへ変化を遂げてきました。「CERBER」がこれまで取り入れたさまざまな手法には、「分散型サービス拒否(distributed denial-of-service、DDoS)」の機能追加、二重に圧縮したWindowsスクリプトファイルの利用、クラウドサービスの悪用が挙げられます。また、情報収集型マルウェアが2段階目の攻撃として「CERBER」を取り入れた例が確認されています。
頻繁に更新を繰り返しているところから、作成者が活動的であること、実入りの良い RaaS と利用会員から見られていることがうかがえます。弊社は、バージョン 4.1.4 が 1日のうちにバージョン 4.1.5 に更新されるのを確認しました。「CERBER」の作成者は利用会員から 40%の手数料を得ており、2016年7月だけで、20万米ドル(2016年11月28日現在、約2,200万円)の利益を上げています。
図1:「CERBER」のバージョン4.1.5の一例
データベースのファイルの暗号化をするのは「CERBER」だけではありません。2016年上半期に確認された「CRYPJOKER(RANSOM_CRYPJOKER.A)」、「SURPRISE(RANSOM_SURPRISE.A)」、「PowerWare(RANSOM_POWERWARE.A)」、「Emper(RANSOM_EMPER.A)」などのランサムウェアの暗号化対象ファイルには、データベース関連の拡張子を持つファイルが含まれていました。これには、dBASE(拡張子dbf)、Microsoft Access(拡張子accdb)、Ability Database(拡張子mdb)、Apache OpenOffice(拡張子odb)のファイルが含まれます。企業にとってデータベースファイルがどれほど重要かを考慮すると、身代金支払いへの圧力を強化するため、作成者が「CERBER」の暗号化対象ファイルリストにこれらを追加したことがうかがえます。
「CERBER」 のバージョン 4.1.0、4.1.4 および 4.1.5 は、4.1.0以前のバージョンである「RANSOM_CERBER.CAD」と「RANSOM_CERBER.A」同様に、特定の言語に設定されている機器やシステムへの感染を避けるように作成されています。Windows の API関数「GetKeyboardLayoutList」を利用して設定言語を確認し、以下の言語が検出された場合、自身の活動を終了します。
- ロシア語
- ウクライナ語
- ベラルーシ語
- タジク語
- アルメニア語
- アゼリー語ラテン文字
- グルジア語
- カザフ語
- キルギス語キリル文字
- トルクメン語
- ウズベク語ラテン文字
- タタール語
- ルーマニア語系モルドバ語
- ロシア語系モルドバ語
- アゼリー語キリル文字
- ウズベク語キリル文字
弊社は、監視によりこの挙動を確認しています。2016年3月から 11月にかけて、「CERBER」の多くは、主に米国、台湾、ドイツ、日本、オーストラリア、中国、フランス、イタリア、カナダおよび韓国で検出されました。
図2:「CERBER」を拡散するスパムメールの例
■侵入経路および拡散方法
弊社が確認した、最新の「CERBER」の検体は、スパムメールにより拡散するもので、オンライン決済サービス提供者から送信された、融資限度額の超過の通知メールに偽装していました。そしてメールの受信者は、口座を確認するよう促されます。
スパムメールは、ユーザの PC を感染させるため2つの手法を利用します。1つはランサムウェアをダウンロードさせる不正なリンクの利用、2つ目は不正な JavaScript が含まれている ZIPファイルの利用です。弊社が確認した他のスパムメールは、請求書を偽装したもので、無作為な名称の Word文書が添付されていました。Word文書には不正なマクロが埋め込まれており、マクロを有効にするとランサムウェアをダウンロードし実行するように作成されていました。「CERBER」の拡散には、エクスプロイトキットも利用されます。「Rig Exploit Kit(Rig EK)」、「Neutrino Exploit Kit(Neutrino EK)」および「Magnitude Exploit Kit(Magnitude EK)」を利用し拡散されます。
図3:「CERBER」のバージョン 4.1.5では、RAMディスクも暗号化対象に設定されている
■データベースファイルの暗号化
「CERBER」は、固定ドライブ及びリムーバブルドライブ内のファイルの暗号化だけでなく、共有ネットワーク上のフォルダ内のファイルも暗号化します。興味深いことに、「CERBER」は、仮想ストレージとして設定されたメモリ部分である RAMディスクに保存されているファイルも暗号化の対象とします。
弊社は、「CERBER」がどのようにデータベースに関連するファイルを暗号化するかを解析したところ、この活動がすでにバージョン 4.0から実装されていたことを確認しました。「Pseudo Darkleech」のキャンペーンで、「CERBER」が拡散されたことが確認されています。「CERBER」はまた、暗号化をしないファイルのパスの一覧を備えており、それには Microsoft SQLサーバとメールソフトが含まれます。しかし、データベースサーバが共有フォルダに直接割り当てられていれば、「CERBER」はその中のファイルも暗号化します。
また、「CERBER」は、暗号化を確実に実行するため、暗号化の前にデータベースソフトウェア関連のプロセスを終了します。このプロセスが実行中であれば、オペレーションシステム(OS)がファイルへの書き込みを阻止し暗号化が妨害されるためです。「CERBER」のバージョン 4.1.5 の環境設定ファイルに記述されている暗号化対象のファイルの長いリストには、Microsoft Access、Oracle、MySQL、SQL Server Agent、また、会計ソフトおよび給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。
「CERBER」のバージョン 4.1.0、 4.1.4 および 4.1.5 の各環境設定ファイルを比較すると、これらが皆同じデータベース関連ファイルを検索することがわかります。「CERBER」はその他、データベース関連のファイル拡張子「csv」「usr」「pdb」「dat」「cls」を持つファイルを暗号化します。
| 拡張子(右)に関連付けられるソフトウェア名称 | 拡張子 |
| Microsoft Access | .accdb, .accde, .accdr, .accdt, .adp, .odc |
| Alpha Five, Ability Database | .adb |
| Advantage Database Server, Progress Database | .ai |
| Oracle | .al |
| Backup copy | .bak |
| Microsoft Works, Blaise Database | .bdb |
| Cardscan card database, Pocket Access, Database, Borland Turbo C main database file, Symbian OS contact database file, Cleaner trojan database file | .cdb |
| SQLite 3 File | .cls |
| Comma-separated Value | .csv |
| Clarion | .dat |
| ANSYS, Arcview, dBASE IV,dBFast, iRiver Plus3 | .db |
| MSQLite Database | .db_journal |
| dBASE III, SQLite | .db3 |
| CBDF, iAnywhere, AlphaFive, ACT!, Psion Series 3, NovaBACKUP | .dbf |
| Database Index | .dbx |
| EstImage Database, Euphoria Database System | .edb |
| Ruby SQL File | .erbsql |
| Fiasco Database, FlexyTrans Database, FlukeView Database, Firebird Database, FoxPro Database, Legacy Family Tree Database, Navison Financials Database, FeedDemon SQLite Data File | .fdb |
| IDEA! Project Management Database | .ibd |
| MySQL InnoDB | .ibz |
| Symantec Q&A Relational Database | .idx |
| KeePass Password Database | .kdbx |
| Kaspersky Virus Database | .kdc |
| SQLite | .litesql |
| Database Index | .mbx |
| NEi Nastran Modal Database, Microsoft Access | .mdb |
| IBM Powerplay | .mdc |
| SQL Server Master Database | .mdf |
| MYSQL Database | .myd |
| Lotus Notes Database | .ns2, .ns3, .ns4, .nsf, .nsg, .nsh |
| NRG Site Database | .nsd |
| NexusDB Database | .nx2 |
| Mybase Database | .nyf |
| Organizers Database, Arcview Object Database | .odb |
| Palm OS Database, Pegasus Database, QuickPOS Database, Visual C++/.NET Program Database, BGBlitz Position Database, Martini Personal Database | .pdb |
| PostGRESQL | .pdd |
| SQL Server Master Database | .mdf |
| Password Safe Database | .psafe3 |
| Redis Database, Oracle, Value Navigator Database, Darkbot Random Database, Zonealarm Mailsafe Database, OpenOffice Database | .rdb |
| SQLite 3.0 Database | .s3db |
| Windows Compatibility Solution Database, yEncExpress Databas, Windows Security Database, SideKick 2 Database, Summer Camp Scheduler Database, Windows2000 Security Configuration and Analysis Database, SQLite Database, OpenOffice Base Database, ServerBoss Database, AutoDesk Survey Database, AutoCAD Civil 3d Survey Database | .sdb |
| Microsoft SQL | .sdf |
| Structured Query Language Data | .sql |
| SQLite Database | .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal |
| Concordance Full Text Database | .tex |
| User Database | .usr |
図4:「CERBER」が暗号化を回避するフォルダ
図5:「CERBER」によって終了されるプロセス
■トレンドマイクロの対策
「CERBER」の「Tactics, Techniques, and Procedures(TTP、攻撃手口)」の改良内容から、このファミリが規模に関係なく各企業・組織への攻撃に移行していることがうかがえます。また、ランサムウェアによって損害を与えられた場合の企業の被害額が増加する兆候も見られます。定期的に会社の重要資産のバックアップをとることによって、「CERBER」による被害を軽減できます。ランサムウェアの亜種の多くは、アクセス権を持つ管理者などのアカウントを利用し、プロセスの終了などの不正活動を行うため、アクセス権の管理をすることにによって侵入を最小限にすることが可能です。個人ユーザや企業は、入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する、多層的なセキュリティ対策によって防衛できます。
ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターによりCERBERの攻撃をブロックします。
- ThreatDV 25841: UDP: Ransom_HPCERBER.SM6 (Cerber) Checkin
バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。
- 3つ以上のコピーを保存
- 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
- そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)
こうした不正広告によって拡散するエクスプロイトキットの被害に遭わないために、インストールしているソフトウェアおよびオペレーションシステム(OS)を最新の状態にしてください。そのようにして、ランサムウェア被害だけでなく、他の様々な攻撃によるリスクも低減することができます。
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security™」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security Virtual Appliance™ & InterScan Web Security Suite™ Plus」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター™ コーポレートエディション XG」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
侵入の痕跡(Indicators of Compromise、IOC)
不正な Webサイト経由で拡散される CERBER
hxxp://martialartmuscle.com/wp-includes/images/media/css/fx.exe
エクスプロイトキットによって拡散される CERBER
0a6ec6a46e66863e48a05058963d9babf2c2b911 — Cerber 4.1.0
fddb48d4910adc0aa75b9529a90e11dac62c41ce — Cerber 4.1.1
620dca44514ee1d440867285bbb2a73a35303876 — Cerber 4.1.3
8185e5477e29b1095f5fc42197baddac56fb44d2 — Cerber 4.1.4
317b1dea823f942061f1f8c6612ef745704c9962 — Cerber 4.1.5
スパムメールによって拡散される CERBER
cc8f31bb926f862b3c5360e33c32134b871008de — Ransom_CERBER.F116K8 (Cerber 4.1.5)
9d48589dc1e202847980004f8290cd12289f7a5c — Ransom_CERBER.F116K7 (Cerber 4.1.3)
66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 — Cerber 4.1.0
感染PC に作成された HTMLファイルがアクセスする Webサイト
hxxp://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxp://api.blockcypher.com/v1/btc/main/addrs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxps://chain.so/api/v2/get_tx_spent/btc/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 — Ransom_HPCERBER.SM6
aa3fc1d5a79e1d43165b5556bae2669fd68455508bb667a457fa3dfd25b6222e (SHA256) — Ransom_HPCERBER.SM6
関連URL
hxxp://xrhwryizf5mui7a5.15ktsh.top/
hxxp://xrhwryizf5mui7a5.uhi7to.bid/
hxxp://xrhwryizf5mui7a5.onion.to/
hxxp://vyohacxzoue32vvk.onion/
※調査協力:Joseph C. Chen、Jon Oliverおよび Chloe Ordonia
参考記事:
- 「Businesses as Ransomware’s Goldmine: How Cerber Encrypts Database Files」
by Mary Yambao and Francis Antazo(Threat Response Engineers)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)