ランサムウェア「CERBER」に新たな機能追加。ビットコインを窃取

ランサムウェア「CERBER」に新たな機能追加。ビットコインを窃取

暗号化型ランサムウェア「CERBER」は、次々と新しい機能を追加しているランサムウェアファミリとして知られています。2017年5月24日の記事では、バージョン1から6へと新しい手法を取り入れながら更新を繰り返す CERBER の変遷を解説しました。それから数カ月後の現在、CERBER は再び更新されたようです。今度は仮想通貨の窃取機能が追加されています。これにより攻撃者は、身代金とは別にビットコインも窃取するという一石二鳥を狙えることになります。

図1
図1:添付ファイルとして侵入する「CERBER」

感染経路は、従来の CERBER と同様に Eメールの添付ファイルです。「JS_NEMUCOD.SMGF2B」として検出される JavaScript の添付ファイルとして侵入し、次に「RANSOM_HPCERBER.SMALY5A」として検出される CERBER の亜種がダウンロードされます。この亜種の挙動は、2017年5月に確認されているバージョンとほとんど同じですが、ビットコインウォレットを狙うという新たな機能が追加されています。

攻撃手法は比較的単純で、公式ウォレット「Bitcoin Core」、サードパーティのウォレット「Electrum」および「Multbit」、これら 3つのソフトウェアのファイルを狙います。そして、それぞれのソフトウェアに関連付けられている以下のファイルを窃取します。

  • “wallet.dat” (Bitcoin Core)
  • “*.wallet” (Multibit)
  • “electrum.dat” (Electrum)

しかし、上述のファイルを窃取しても、それでけではウォレットに保存されたビットコインを窃取することはできません。攻撃者はウォレットの保護パスワードも窃取する必要があります。なお、Electrum では 2013年後半から、”electrum.dat” は使用されていません。

そのため、新しい CERBERの亜種は、ウォレットのファイルを窃取するだけでなく、Internet Explorer(IE)、Google Chrome、Mozilla Firefox によって保存されているパスワードを収集します。これらの情報の収集は、ファイルの暗号化前に実行されることも重要なポイントです。収集されたウォレットの情報とパスワードは、コマンド&コントロール(C&C)サーバを経由して攻撃者に送信されます。ウォレットのファイルが C&Cサーバに送信されると、感染PC上のウォレットのファイルが削除されます。これによりユーザの被害はさらに深刻になります。

攻撃者は、この新機能の追加からわかるように、ランサムウェアの新しい収益方法を試行しています。ユーザのビットコインまで狙うことによって、潜在的収入の拡大を見込んでいるものと考えられます。

■トレンドマイクロの対策

スパムメールを利用するという CERBER の感染経路は変わっていません。そのため、これまでに推奨されているベストプラクティスは引き続き有効です。未知の送信元からの Eメールの添付ファイルを開封しないよう徹底することによって感染リスクを低下できます。システム管理者は、不正な添付ファイルをフィルタする Eメール対策方針も検討してください。

ウイルスバスター クラウド」、「ウイルスバスター™ コーポレートエディション」、「ウイルスバスター™ ビジネスセキュリティサービス」などのエンドポイント製品では、不正なファイルを検出し、関連するすべての不正なURLをブロックすることにより、これらの脅威から企業や個人ユーザを保護します。 メール対策製品「Deep Discovery Email Inspector」は、CERBER の攻撃で利用される不正なファイルが添付されたスパムメールを検出・ブロックすることのできる、高度な不正プログラム検出エンジンを備えています。

ウイルスバスター™ コーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、グローバルスレットインテリジェンスに基づくさまざまな高度なセキュリティ技術に加えて、次世代のAI 技術のひとつである高度な機械学習型検索を活用し、実行前・実行後両方に対応する独自のアプローチで、未知のファイルが脅威かどうか判別します。

侵入の痕跡(Indicators of Compromise、IoCs)

今回の事例に関連するハッシュ(SHA256)は以下のとおりです。

  • 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27
    (「RANSOM_HPCERBER.SMALY5A」として検出)

参考記事:

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)