暗号化型ランサムウェア「CERBER」のバージョン 3.0が確認されてから 1カ月後、バージョン 4.0(「RANSOM_CERBER.DLGE」として検出)がリリースされました。トレンドマイクロは、「CERBER」を拡散する「malvertising(不正広告)」キャンペーン 3件、および改ざんされた Webサイトのキャンペーン 1件について追跡し調査を行いました。「CERBER」最新版については、セキュリティリサーチャー Kafeine氏によるランサムウェア広告についての報告にも記載されています。
「CERBER 4.0」への更新には、脅迫状が HTML形式から HTA形式へ変更したことが含まれます。また、「CERBER」の作成者は、暗号化したファイルの拡張子に「.cerber3」を一貫して利用するのを廃止し、感染ごとに生成した無作為な文字列を、ファイルの拡張子として利用しています。2016年10月初めから急速な拡散が確認されているところから、「CERBER4.0」への更新は、サイバー犯罪者の注目を集めていると推察されます。
広告には以下のように記載されています。
| Cerber Ransomware 4.0 | Cerber Ransomware 4.0 (訳) |
| – FUD на топовых антивирусах (скантайм / рантайм) | 主要なセキュリティ対策製品による検出100%回避(スキャンタイムおよびランタイム) |
| – Обход мониторинга активности (массовое изменение, обход ханипотов итд.) | 活動監視の回避(バッチ更新、ハニーポット回避) |
| – Обход всех известных anti-ransomware программ | 既存のランサムウェア対策製品の回避 |
| – Работает 5 крипторов 7 дней в неделю | 5種の暗号化機能の、年中無休活動 |
| – Обновленный морф | モーフィング機能の更新 |
| – Новые инструкции на 13 языках + новый фон | 13カ国語の説明書、および新デザイン |
| – Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет) | ドメインを経由してブロックチェーンの同期(ブロックチェーンランディングページが停止されていても問題なし) |
| – Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования | 暗号化ファイルの拡張子をランダムな文字列に変更 暗号化アルゴリズムの更新 |
| – Новые типы файлов для шифрования | 新しい形式ファイルの暗号化 |
| – Закрытие запущенных процессов всех топовых баз данных | 実行中のすべてのプロセスのデータベースを閉じる |
| – Обновленный JS Loader | JS Loaderの更新 |
| – Новые onion домены и многое другое. | 新Onionドメインその他 |
■人気上昇の「CERBER 4.0」
過去に報告しているように、「CERBER」は 2016年3月に確認されて以来、最も広く拡散している悪名高いランサムウェアの1つです。多くの機能を備える「CERBER」は、ごく初期のバージョンでさえも「サービスとしてのランサムウェア(Ransomware as a Service、RaaS)」としてアンダーグラウンド市場で取り引きされてきました。迅速な更新も、エクスプロイトキットに拡散させる不正プログラムとして、多くのサイバー犯罪者に「CERBER」が好まれる理由となりました。これは、新しい脆弱性を狙い、ランサムウェアを継続して利用するエクスプロイトキットについての弊社の調査結果から明らかです。
「CERBER 4.0」を好んで利用するキャンペーンに、「Pseudo Darkleech」があります。絶えず変化する特徴を持つこのキャンペーンは、通常、改ざんされたWebサイトを利用してランサムウェアを拡散します。以前は「CrypMIC」と「CryptXXX」を拡散していましたが、弊社のリサーチャーは、このキャンペーンが 2016年10月1日に「CERBER4.0」の拡散に乗り換えたことを確認しています。
図1:このバージョンの「Pseudo Darkleech」は、改ざんされたサイトに直接「Rig Exploit Kit(Rig EK)」のリンクを埋め込む
図2:別のバージョンの「Pseudo Darkleech」は、ユーザをリダイレクトするサーバへ誘導し、そこから Rig EK へ誘導する
「Pseudo Darkleech」より以前に確認されている他の2つの不正広告キャンペーンも、「CERBER 4.0」を利用しています。「Magnitude Exploit Kit(Magnitude EK)」を利用しているキャンペーンは、もう長い間「CERBER」を拡散しています。Magnitude EK は 10月3日に更新され、台湾、韓国、香港、シンガポール、中国を中心としたアジア地域で継続して「CERBER4.0」を拡散しています。
もう一方のキャンペーンは、カジノを装う不正広告を多用します。このキャンペーンは、以前、多くの国で「Andromeda」や「Betabot(トレンドマイクロではNeurevtとして検出)」を拡散していました。10月4日、弊社のリサーチャーは、キャンペーンが拡散する不正プログラムが「CERBER 4.0」へ変更されたことを確認しました。これは「CERBER 4.0」の拡散を弊社が確認した最初の例でした。そしてこのキャンペーンは Rig EK を利用していましたが、Rig EK も、過去に「CERBER」を拡散していたことがあります。
図3:Rig EK の不正広告キャンペーンで、「CERBER 4.0」が拡散される
図4:カジノをテーマとした偽広告
■現在も活動する「Nuetrino EK」、「CERBER 4.0」を拡散
2016年9月8日、弊社が確認した新しい不正広告キャンペーンは当時「CERBER 3.0」を拡散していましたが、10月3日に「CERBER 4.0」に変更し、米国、ドイツ、スペイン、台湾および韓国で拡散しました。「CERBER 4.0」を拡散するキャンペーンには Nuetrino EK が利用されていましたが、興味深いことに、作成者メンバーが Nuetrino EK の提供を停止したと告知しました。セキュリティリサーチャーの Kafeine氏は、9月9日に、Neutrino EK 作成者側からの「提供は終了する、新しくレンタルサービスもしないし、期間の延長もしない」というメッセージを報告しています。Neutrino EK の後退とも思われるこの件の理由については、Nuetrino EK の作成者メンバーがサイバーセキュリティ企業の目を恐れたことが推測されています。もう 1つの説は、大規模な拡散活動を手掛ける VIP顧客のみにエクスプロイトキットの提供をする、プライベート経営の方針に変更したという見方です。
図5:Neutrino EK を利用する不正広告が「CERBER」を拡散
■トレンドマイクロの対策
バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1 ルールに従いバックアップを取っていれば、ランサムウェア被害に遭ったとしても、損失したデータの復旧が可能です。
- 3つ以上のコピーを保存
- 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
- そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)
こうした不正広告によって拡散するエクスプロイトキットの被害に遭わないために、インストールしているソフトウェアおよびオペレーションシステム(OS)を最新の状態にしてください。そのようにして、ランサムウェア被害だけでなく、他の様々な攻撃によるリスクも低減することができます。
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security(CAS)」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)