ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

BlackBerry Protect vs. WastedLockerランサムウェア

A row of locked starage lockers horizontal composition

本ブログ記事は、2020年8月20日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

WastedLockerは企業をターゲットにしたランサムウェアの一種であり、一般的に「Evil Corp Gang」として知られるマルウェア犯罪グループに関係していると見られています。現在このグループは、インターネット上でランサムウェアを使用した活動を行っているグループの中で最大の規模を持つと言われています。

Evil Corp GangはDridexという別名でも知られ、以前は金融機関をターゲットにした悪名高いZeuSというトロイの木馬に関わっていた脅威アクターの一部が、2007年に独自のマルウェアを配布するために分離することによって創設されました。このグループは、2016年の一般家庭ユーザーを対象にしたLockyランサムウェアの配布にも関わっていると見られています。

この脅威アクターによる攻撃は、特定の組織をターゲットにしているように見えます。セキュリティ研究者達は、このランサムウェアは現時点で米国企業のみをターゲットにしていると述べています。現在までの最も有名な攻撃は、ナビゲーションデバイスやスマートウォッチのメーカーであるGarminを対象にした攻撃です。同社は2020年7月の数日間、全世界でサービス停止に追い込まれ、同社のコネクテッドデバイスの利用者は自分のデバイスにアクセスできない状況となりました。 

WastedLockerランサムウェアの解析

BlackBerryの脅威調査チームは、WastedLockerランサムウェアのサンプルをテスト目的で入手しました。以下に調査結果の概要を示します。

WastedLockerはAES 256ビットCBCモードの暗号鍵を使用してファイルを暗号化します。この暗号鍵は、4096ビットRSAを使用した非対称暗号化によって保護されています。被攻撃者のファイルの暗号化が完了すると、暗号化されたファイルに「.wasted」というファイル拡張子が付けられます。

さらに攻撃者は、ランサムノート(攻撃に関する注意書き)が記載された追加ファイルを作成します。このランサムノートには暗号化されたファイルと同じ名前が付けられますが、ファイル名の最後に「_info」という文字列が付加されます。

図1:「.wasted」という拡張子で暗号化されたファイルと、ランサムノートが含まれる「.wasted_info」ファイル

次のスクリーンショットはランサムノートを示しています。レイアウトは同一であり、ターゲットになった組織の名前で始まります。次に、ネットワークが暗号化されたというメッセージ、情報を取り戻すための問い合わせ先となるメールアドレス、データを取り戻すための費用、ファイルの暗号化キーが記されています。

図2:ランサムノート(ターゲットとなった企業の名前と連絡先のメールアドレスは空白にしています)


修復

ランサムウェアの新しい変種に見られる傾向として、セキュリティツールやアンチウイルスソフトウェアによる検知を回避するための設計が向上していることが挙げられます。これにより、ランサムウェアは被攻撃者のファイルを暗号化するために十分長い時間存続できるようになります。

セキュリティ研究者によると、WastedLockerは、関連のあるランサムウェアの一種であるBitPaymerとよく似た回避手法を使用しているように見えるとのことです。この手法では、悪意のある行為をメモリ内で行うことによって難読化に新たな別のレイヤーを加え、動作ベースの検知ルールによるランサムウェアの検知をさらに困難にします。

図3:隔離されたすべてのテスト済みファイルを表示したBlackBerry Protectコンソール


ファイルのスコアリングに関して、これらのファイルはすべてBlackBerry® Protectの機械学習モデルによって低くスコアリングされています。

BlackBerryが使用する人工知能に基づくエージェントは、何百万もの安全なファイルと安全でないファイルによる脅威検知の機械学習を積んでいます。そのため、BlackBerryの自動化されたセキュリティエージェントは、特定のファイルシグネチャに依存するのではなく、無数のファイル属性と悪意のある行動に基づいてWastedLockerをブロックします。

保護という点においては、修復よりも早期対応のほうがはるかに安く済みます。既存のセキュリティ体制を頻繁に確認し、重要なデータを定期的にバックアップしてください。

BlackBerry Protectの詳細については、こちらをご覧ください。

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。