「Locky」のコードを利用したランサムウェア「Goliath」、ダークWeb で販売

2016年5月17日(米国時間)、ランサムウェア関連の製品およびサービスを宣伝する Webサイトを「Dark Web(ダークWeb)」上で確認した報告がなされました。

匿名通信システム「The Onion Router(Tor)」のネットワーク経由でアクセスが可能な「Hall of Ransom」という名の Webサイトで、暗号化型ランサムウェア「Locky」が3千米ドル(約33万円。2016年5月19日現在)で販売されています。Locky は、不正なマクロを埋め込んだ Microsoft Wordファイルを添付したメール経由でユーザの PC に感染することで話題になった暗号化型ランサムウェアです。Locky による被害は、米国ケンタッキー州の Methodist Hospital の事例、また、暗号化されたファイルの復号のために40ビットコイン(約200万円。2016年5月19日現在)を支払わされた米国カリフォルニア州の Hollywood Presbyterian Medical Center の事例が報告されています。この暗号化型ランサムウェアは2016年2月時点で、1日あたり 90,000件が感染したと推定されています。

問題の Webサイトでは、コピー不可の「USB鍵」を1,200米ドル(約13万円)で販売しているようです。この USB鍵を感染PC に挿入するだけで、Locky によって暗号化された Linux および Windows上のファイルを自動的に復号できると説明しています。

また「Hall of Ransom」は、新種のランサムウェア「Goliath(ゴリアテ)」を2,100米ドル(約23万円)で販売しています。Locky のソースコードを利用しているという Goliath は、サイバー犯罪を始めようという初心者向けに提供されています。Webサイトでは Goliath が非常に高い確率で感染することを保証し、ハッカーがクリックひとつで感染PC のファイルをダウンロード、ロックそしてロック解除もできるという機能について大きく宣伝しています。

さらに、JIGSAW と呼ばれる他のランサムウェア亜種との関連についても明らかにしています。同Webサイトの HTMLソースコードに JIGSAW が参照されているのです。弊社は、先月、身代金が支払われない場合1時間毎にファイルを徐々に削除し、同時に身代金も増額していくという機能を備えている JIGSAW について報告しています。JIGSAW はまた、被害者の罪悪感や恐怖心につけこんで被害者が身代金を支払うように圧力をかけます。

不正プログラムの売買のためにダークWeb が利用されることは意外ではありません。サイバー犯罪者にとって必要なインフラが備わっており、Torのような匿名のネットワーク上で製品とサービスを広告できるため、サイバー犯罪者にとって好都合だからです。手っ取り早く金銭を得る魅力的な手法と考えられているランサムウェアは、サイバー犯罪者間でビジネスモデルとしても着実に拡大しています。例えば PETYAMISCHACERBER、ORX-Locker といった亜種は、ダークWeb の市場で「サービスとしてのランサムウェア(Ransomware as a service、RaaS)」という商品として知られており、そこでは会員がランサムウェアを拡散し、身代金が支払われるたびに開発者に手数料が支払われています。また、ランサムウェア「TOX」は、カスタマイズ可能なツールキットとしてサイバー犯罪者に無料で提供されており、開発者の懐には30%の手数料が入ることになっています。

問題の Webサイト上ではGoliath が宣伝されている一方で、1)「仮想プライベートネットワーク(Virtual private Network、VPN)」の必要、2)Windows OS 搭載機器にしか感染しないこと、3)仮想通貨のマイニング(発掘)機能に必須な高性能のビデオカードの必要、といった事実から、この Webサイトを確認したセキュリティリサーチャーは、Goliath について疑問視しています。また、Goliath の検体収集を試みても見つけられなかったため、ほとんど流通していないのではないか、と説明しています。

トレンドマイクロでは、この脅威を引き続き監視し、必要に応じて情報を更新していきます。

参考記事:

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)