2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon(アヴァドン)」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。
■Avaddonランサムウェア
Avaddonと呼ばれる新たなランサムウェア(「Ransom.Win32.AVADDON.YJAF-A」として検出)が確認されています。拡散経路としてはメール経由のばらまき攻撃であり、JavaScriptファイル「IMG {ランダムな数字6文字} .jpg.js.zip」を含む不正ファイル「IMG{ランダムな数字6文字}.jpg.js.zip」が添付された電子メールを介して拡散されました。メールの添付ファイルとしてコンピュータ内に侵入したトロイの木馬型マルウェア(「Trojan.JS.AVADDON.YJAF-A」として検出)が、このランサムウェアを不正なWebサイトからダウンロードしてシステム上で実行します。これについては、弊社マルウェア解析者による一連のTwitter投稿でも報告されています。日本でも6月前後にAvaddonを拡散するマルウェアスパムが頻繁に確認されましたが、現在のところ顕著な被害拡大は見られていません。
Avaddonの拡散活動(キャンペーン)に用いられた電子メールは、特定の件名を使用してユーザの好奇心を刺激し、メッセージを開いて添付ファイルをダウンロードするよう誘導します。前出の図1に示すように、メール本文には1つの顔文字「;)」のみ含まれています。この本文が顔文字のみのマルウェアスパムは過去のマルウェアキャンペーンの攻撃手口を踏襲しています。直近の事例としては2019年にも見られていますが、その時は別のランサムウェア「GandCrab」を拡散させるものでした。これらのマルウェアスパムの多くには、写真に関する内容が件名に記されており、カメラ内蔵型端末が広く浸透する現在では、ユーザがメールに興味を持つ可能性が大いにあります。
- Look at this photo!(この写真見てよ!)
- Photo just for you(あなたに宛てた写真です)
- You look good here(綺麗に映ってるね)
- I love this photo(この写真、すごくいいね)
- I like this photo(この写真いいと思うな)
- Is this your photo?(これ、あなたの写真?)
- Is this you?(これに写ってるの、あなた?)
- My favourite photo(わたしのお気に入りの写真です)
- You like this photo?(あなたはこの写真、いいと思う?)
この添付ファイルを実行した場合、トロイの木馬型マルウェアはPowerShellコマンドおよびBITSAdminコマンドラインツールを不正に利用して、ペイロードであるランサムウェアをダウンロードして実行します。その後ユーザは、ランサムウェアによってファイルが暗号化され、ファイル拡張子に「.avdn」が付加されたことに気付くことになります。ユーザは、自身のシステム画面の壁紙が自動的に「All your files has been encrypted(すべてのファイルは暗号化されました)」と記された画像に変更され、身代金要求文書「Instruction 270015-readme.html」({暗号化されたディレクトリ} \ {ランダムな数字} -readme.html形式のファイル)を確認するよう指示が与えられます。
身代金要求文書(ランサムノート)には、感染システムを利用するユーザがどのような手順を取れば暗号化されたファイルを復元できるかについて記されています。
このランサムウェアは、以下のフォルダ内に存在するファイルを暗号化します。
- Program Files\Microsoft\Exchange Server
- Program Files (x86)\Microsoft\Exchange Server
- Program Files\Microsoft SQL Server
- Program Files (x86)\Microsoft SQL Server
またランサムウェアは、感染システムのバックアップコピーを削除するために以下のプロセスを追加し、復元を困難にします。
- wmic.exe SHADOWCOPY /nointeractive
- wbadmin DELETE SYSTEMSTATEBACKUP
- wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
- bcdedit.exe /set {デフォルト} recoveryenabled No
- bcdedit.exe /set {デフォルト} bootstatuspolicy ignoreallfailures
- vssadmin.exe Delete Shadows /All /Quiet
さらにランサムウェアは、特定のサービスとプロセスを終了します。これらの多くは、ファイルスキャン、保存または取得、あるいはタスクスケジュールに関連しています。以下にいくつかの例を示します。
終了させるサービス:
- ccEvtMgr
- ccSetMgr
- Culserver
- dbeng8
- dbsrv12
- DefWatch
- Intuit.QuickBooks.FCS
- msmdsrv
- QBCFMonitorService
- QBIDPService
終了させるプロセス:
- 360doctor.exe
- 360se.exe
- axlbridge.exe
- BCFMonitorService.exe
- Culture.exe
- Defwatch.exe
- fdhost.exe
- fdlauncher.exe
- GDscan.exe
- httpd.exe
ランサムウェアは、WindowsロケールIDが以下の値と等しい場合、自身を終了します。
- 419 = ロシア語
- 422 = ウクライナ語
ランサムウェアは、システムが以下のキーボードレイアウトと言語バーに設定されている場合、自身を終了します。
- 419 = ロシア語
- 485 = ヤクート(ロシア)
- 444 = タタール語
- 422 = ウクライナ語
これらAvaddonが行う特定の国で利用されるシステムへの攻撃を回避する手法は、他のマルウェア、例えばMedusaLockerランサムウェアでも観察されています。
Avaddonに関連するプロセスやサービスの一覧、およびランサムウェアの詳細については、トレンドマイクロの脅威データベースをご参照ください。
■新たな攻撃手法「反射型DLLインジェクション」と「仮想マシン利用」
新たなランサムウェアファミリの顕著な増加が確認される2020年1~5月の間で、一部のランサムウェア検出回避に利用する攻撃手法もアップデートされています。たとえば、ランサムウェア「Netwalker」は、リフレクティブダイナミックリンクライブラリ(DLL)インジェクション(別名:リフレクティブDLLロード、反射型DLLインジェクション)を介してファイルレス活動を可能にします。この手法はDLLをディスクからではなくメモリからインジェクションします。この手口は2020年5月に台湾企業への攻撃が確認されたランサムウェア「ColdLock」でも使用されており、より高度なファイルレス活動を実現する手法として注意が必要です。
もう1つの注目すべき高度化された回避手法は、ランサムウェア「Ragnar Locker」の攻撃で使用された仮想マシンを展開する手法でしょう。この攻撃ではRagnar Lockerを含む仮想マシンのイメージがインストールされ、仮想マシン内部でRagnar Lockerが実行されます。セキュリティベンダ「Sophos」によると、この攻撃手法は、これまでどの種類のランサムウェアも利用したことのない方法です。これまでのRagnar Lockerは、マネージドサービスプロバイダ(MSP)またはWindowsリモートデスクトッププロトコル(RDP)の脆弱性を利用して攻撃活動を行っていました。
■業界別被害事例
2020年1~5月の間に報告されたランサムウェア事例を見ると、世界的に製造や物流、エネルギー業界の複数の企業での被害が目立っています。一例としてランサムウェア「Ekans」は、製造業を狙ったとされる複数の攻撃で利用されました。サイバーセキュリティ企業「Dragos」が確認したように、過去にEkansの攻撃によって企業プロセスが機能停止した事例において、ある程度の意図性が存在したことは明らかです。これを踏まえ、Ekansは産業制御システム(ICS)を活用する組織が注意を向けるべき脅威です。
ファイルを暗号化して復号キーと引き換えに身代金を要求するだけでなく、事前に窃取した機密データを一般公開すると脅し文句を加える二重の脅迫手法を採用したランサムウェア「Nefilim」は、物流企業での被害が確認されています。これらの攻撃を弊社が調査した結果、最近新たに確認されたランサムウェアの不正活動、特にデータ窃取に関する詳細が明らかとなりました。このデータ窃取活動は、実際にランサムウェアが展開される数週間または数カ月前から始まっており、攻撃時には不正あるいは正規ツールを複数使用してプロセスを展開し、ネットワークを介して水平移動(情報探索)することが確認されました。同様の「情報暴露型」の事例としては、ランサムウェア「Sodinokibi」を背後で操る攻撃者が英国の送配電事業者の従業員のパスポート情報などを含む文書ファイルをTorのWebページ上で公開したことです。同事業者はこの出来事の数週間前にランサムウェアの攻撃により業務が妨害されていました。
一方、弊社がColdLockと名付けた別のランサムウェア(「Ransom.MSIL.COLDLOCK.YPAE-A」として検出)は、特定の業界だけでなく、特定の地域を標的としました。具体的にこのランサムウェアは、データベースおよび電子メールサーバの暗号化を狙って台湾の組織に攻撃を仕掛けていました。
■世界的統計データから見るランサムウェア脅威
トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、2020年5月、ランサムウェア「WannaCry」の検出は全世界で15,496件確認され、最も多く検出されたランサムウェアファミリとなりました。WannaCryが最も多くの検出数を保持している理由は、自律的なワーム活動(横展開)を可能にさせるコンポーネントと、マルウェアを定期的に拡散させようと試みる攻撃者の意図により確立される持続性に起因している可能性があります。トレンドマイクロは、新たに大規模な脅威をもたらすランサムウェアが出現するか、WannaCryのソースが発見されて削除されるまでは、WannaCryが現状のような多くの検出数を維持し続けていくと予測しています。
WannaCryに続くのが、1,532件検出された「Locky」、そして392件検出された「Cerber」です。実際これらのランサムウェアファミリは、2020年1月以来、常に上位3位に入っています。また、2019年のランサムウェアの検出総数でも上位3位にその名を連ねています。
部門別では、大企業での検出数が最も多く、18,000件を超えました。一方、コンシューマでの検出数は4,000件、中小企業での検出数は1,000件を超えています。
■被害に遭わないために
ランサムウェアが企業にもたらす脅威の一部を挙げるとすれば、製造機器の機能停止による生産性の損失やデータ損失、あるいは企業の機密データが暴露されることで生じる信用性の低下および金銭的損害でしょう。しかし企業は、これらの脅威から組織を保護する対策方法を見出すことができます。
ランサムウェアからシステムを保護するために講じるべきベストプラクティスの一部を以下に示します。
- アプリケーションとソフトウェアに修正プログラム(パッチ)を適用するため、定期的にアップデートしましょう。これにより、既知の脆弱性に確実に対処できます。速やかにアップデートできない場合、またゼロデイ脆弱性が利用される可能性については、仮想パッチなどの技術的緩和策も検討してください
- 従来型のウイルス検出機能だけでなく、セキュリティソリューションが備える機械学習や挙動監視技術などの新たな対策技術を有効化しましょう。また可能であればサンドボックス分析を有効化しましょう
- バックアップの際には「3-2-1のルール」を実践しましょう。3つ以上のバックアップを定期的に作成し、2つの異なるメディア内に保存し、そのうちの1つを他の2つのコピーとは別の場所に、可能ならネットワークから隔離された場所に保存してください
■トレンドマイクロの対策
トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨されるものを以下に示します。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。特に「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などのメール対策製品、「Trend Micro Web Security as a Service – Advanced」などのWeb対策製品で使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。
「Trend Micro XDR」のセキュリティサービスは、Managed XDRチームによる24時間年中無休の監視と専門家による分析を提供することで、セキュリティを強化します。これには、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークが含まれます。チームは高度な分析と人工知能(AI)技術を使用して、アラートを相関させ、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを理解し、これらの脅威に対処するための手段を定めることが可能です。
■侵入の痕跡 (Indicators of Compromise)
本記事で紹介した「Avaddon」ランサムウェアに関連する侵入の痕跡(IoC)の一覧は、こちらをご参照ください。
参考記事:
- 「Ransomware Report: Avaddon and New Techniques Emerge, Industrial Sector Targeted」
by Trend Micro, Monte De Jesus, Mohammed Malubay, and Alyssa Christelle Ramos
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)