ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

Ragnar Locker、新たな変種が神聖なタイムラインを脅かす

本ブログ記事は、2021年7月1日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

 

概要

先日、Ragnar Locker というランサムウェアが、ADATA に対して標的型攻撃を行ったことにより世界中で話題になりました。ADATA は、高性能な DRAM モジュールや NAND フラッシュ製品を製造する台湾の大手メーカーです。このファミリーの最初の変種が現れたのは 2019 年の終わりでした。

現在の変種は、他の有名なランサムウェアの変種(DarkSideAvaddonREvil など)と同様に、身代金要求の前にデータをローカルで暗号化しつつ抜き出すという二重脅迫の手口で身代金の支払いを迫ります。被害者が支払いを拒否すると、hxxp[:]//p6o7m73ujalhgkiv[.]onion/?BatxqaHm8rKxIP16Z1xB というダークウェブのサイトにデータが公開されます。

ダークウェブにある Ragnar Locker のサイトにアクセスすると、「恥の壁」と称して最新の被害者が公開されています。ADATA からは 1.5 TB のデータを持ち出したと主張しています。このウェブサイトによると、このデータは長期間にわたって注意深く集められたということです。

 

 

オペレーティングシステム

 

リスクと影響

 

技術的解析

Ragnar Locker 自体は、55 KB というサイズで、極めて小さく目立たないものです。実行されると、システムの言語を確認します。以下の旧ソビエト地域の言語が見つかると、すぐに終了します。

アゼルバイジャン語

アルメニア語

アスガルディア語

ベラルーシ語

ベラルーシ語

ロシア語

ジョージア語(グルジア語)

タジク語

モルダビア語

トルクメン語

カザフ語

ウズベク語

キルギス語

ウクライナ語


次に、以下のサービスを確認し、見つかれば停止します。

vss

logmein

sql

connectwise

memtas

splashtop

mepocs

mysql

sophos

Dfs

veeam

vmms

backup

vmcompute

pulseway

Hyper-V

logme

 


以下のプロセスも確認し、実行中であれば停止します。

Sql

Firefox

steam

Postgres

Mysql

Tbirdconfig

thebat

Fdhost

Veeam

Mydesktopqos

thunderbird

WSSADMIN

Oracle

Ocomm

visio

Wsstracing

Ocssd

dbeng50

winword

OWSTIMER

Dbsnmp

sqbcoreservice

wordpad

dfssvc.exe

Synctime

excel

EduLink2SIMS

swc_service.exe

Agntsvc

infopath

Bengine

Sophos

Isqlpussvc

msaccess

Benetns

SAVAdminService

Xfssvccon

mspub

Beserver

SavService.exe

Mydesktopservice

onenote

Pvlsvr

Hyper-V

Ocautoupds

outlook

Beremote

 

Encsvc

powerpnt

VxLockdownServer

 


その次には、シャドーコピーとバックアップを削除して、暗号化したファイルを簡単に復旧できないようにします(マーベル作品に登場する時間変動機関)の一員に対しては無力ですが)。

図 1: バックアップとシャドーコピーの削除

続けて、暗号化を始めます。ただし、以下の拡張子のファイルは除きます。

DB

MSI

SYS

DRV

DLL

EXE

LNK

MUI


以下のファイルも暗号化しません。

RAGN@R_9150F85A!.txt

Desktop.ini

Autorun.inf

Iconcache.db

Boot.ini

Ntldr

Bootfont.bin

Ntuser.dat

Bootsect.bak

Ntuser.dat.log

Bootmgr

Ntuser.ini

Bootmgr.efi

Thumbs.db

Bootmgfw.efi


システム内を探索しますが、以下の場所のファイルは暗号化しません。

Windows

Opera Software

Windows.old

Mozilla

Tor browser

Mozilla Firefox

Internet Explorer

$Recycle.Bin

Google

ProgramData

Opera

All Users



Ragnar Locker のデータ破壊方法

次のように、暗号化の過程でファイルの拡張子に「.RAGN@R_9150F85A」を追加します。

図 2: Ragnar Locker によって暗号化されたファイル

さらに、次のように、暗号化したファイルの内容に「$$$_RAGNAR_$$$」を追加します。

図 3: $$$_RAGNAR_$$$ ファイルマーカー

そして、感染したディレクトリに脅迫状を残します。次のとおり、ファイル名は「!$R4GN4R_9150F85A$!.txt」です。

図 4: Ragnar Locker が残す脅迫状

脅迫状には、データを暗号化し、盗み出したことが書かれています。また、盗まれたデータをすべてマスメディアがニュース速報で公開する可能性があること、さらに、この流出がパートナー、顧客、投資家に通知されることも書かれています。

脅迫状では、提供されるツールで復号できることの証拠として、ファイルを 2 つ無料で復号してもらえることにも触れています。

図 5: Ragnar Locker の脅迫状

脅威アクターと連絡を取るには、Tor ブラウザーをダウンロードして、次のアドレスでライブチャットを行う必要があります。

hxxp[:]//rgngerzxui2kizq6h5ekefneizmn54n4bcjjthyvdir22orayuya5zad[.]onion/client/?bC2aAD71E2976da53FC1Efc3193c8FDeA0BAeF8A37883c9e05d3BFF82CCfE8Ee

また、Ragnar Locker のホームページ(hxxp[:]//p6o7m73ujalhgkiv[.]onion/?BatxqaHm8rKxIP16Z1xB)に移動して”WALL OF SHAME”(恥の壁)を見ることもできます。

図 6: Ragnar Locker のホームページ

”WALL OF SHAME”(恥の壁)には最近の被害者が掲載されています。執筆時点での最新の被害者は 2021 年 6 月 7 日に追加されています。その前の被害者は 2021 年 6 月 5 日です。

 

ADATA の最新情報

ADATA が Bleeping Computer に対して メール で回答したところによると、ランサムウェア攻撃を受けたのは 2021 年 5 月 23 日だということです。ADATA は、影響を受けたシステムをすべて停止し、関連のある国際機関すべてに通知するという対応を取りました。

執筆時点では、Ragnar Locker 側に ADATA の回答は届いていません。ADATA は現在に至るまで 協力と支払いを拒否 しているため、2021 年 6 月 16 日、Ragnar Locker のリークサイトに盗まれたデータのダウンロードリンクが公開されました。

データには、従業員のフォルダとファイル、NDA 文書、機密図面などが含まれています。

図 7: データ流出の証拠

Mega.nz に置いてあった大きな流出ファイルはダウンロードできなくなっています。規約違反により Mega.nz が削除したためです。

図 8: アーカイブされた流出データ

ただし、上の画像で「The first batck of files is here」(スペルミスは原文のもの)の下にあるファイルについては、Mega.nz に置いていたのではないため、今でもダウンロードできます。

 

YARA ルール

以下の YARA ルールは、この記事で説明した脅威を捕捉するために BlackBerry の脅威調査チームが作成しました。

import "pe"
import "hash"

rule Mal_Ransom_Win32_RagnarLocker
{
    meta:
        description = "Detects W32 Ragnar Locker ransomware"
        author = "Blackberry Threat Research Team "
        date = "2021-11-06"

    strings:        

        //\\.\PHYSICALDRIVE%d
        $x1 = {5c005c002e005c0050004800590053004900430041004c004400520049005600450025006400}
        //-vmback
        $x2 = {2d0076006d006200610063006b00}
        //-backup
        $x3 = {2d006200610063006b0075007000}
        //-force
        $x4 = {2d0066006f00720063006500}
        //RAGNRPW        $x5 = {5241474e525057}          

    condition:
        uint16(0) == 0x5a4d and
        hash.md5(pe.rich_signature.clear_data) == "dba646dcda92145cdadb37ed14cdad58" and
        pe.imphash() == "2c2aab89a4cba444cf2729e2ed61ed4f" and
        filesize < 55KB and
        all of ($x*)
}


侵入の痕跡(IOC)

BlackBerry では、サイバーセキュリティに対して、予防ファーストの AI 主導アプローチを採用しています。予防を第一とすることで、キルチェーンの悪用段階の前にマルウェアを無力化できます。

BlackBerry® ソリューションは、この段階でマルウェアを阻止することで、組織の回復力向上に役立ちます。また、インフラストラクチャの複雑さが削減され、セキュリティ管理が合理化されて、業務、スタッフ、エンドポイントが確実に保護されます。

ファイルシステム操作
作成されるもの:

  • !$R4GN4R__ [A-Z0-9]{8}$!.txt → 脅迫状ファイル
  • 例:「!$R4GN4R_9150F85A$!.txt」
  • .RAGN@R_ [A-Z0-9]{8} → 影響を受けるファイルに追加する拡張子
  • 例:「.RAGN@R_9150F85A」

変更されるもの:

  • 影響を受けたファイル(暗号化後)

削除されるもの:

  • ボリュームシャドーコピー
  • バックアップ

Ragnar Locker とのやり取りに使う URL

  • hxxp[:]//p6o7m73ujalhgkiv[.]onion/?BatxqaHm8rKxIP16Z1xB
  • hxxp[:]//rgngerzxui2kizq6h5ekefneizmn54n4bcjjthyvdir22orayuya5zad[.]onion/client/?bC2aAD71E2976da53FC1Efc3193c8FDeA0BAeF8A37883c9e05d3BFF82CCfE8Ee

プロセス
作成されるもの:

  • wmic SHADOWCOPY DELETE delete
  • vssadmin Delete Shadows /All /Quiet
  • bcdedit /set {default} recoveryenabled No
  • cdedit /set {default} bootstatuspolicy ignoreAllFailures
  • bcdedit /set {globalsettings} advancedoptions false

停止されるもの:

sql, mysql, veeam, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlpussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, dbeng50,sqbcoreservice, excel, infopath, msaccess, mspub, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad, EduLink2SIMS, bengine, benetns, beserver, pvlsvr, beremote,VxLockdownServer, postgres, fdhost, WSSADMIN, wsstracing, OWSTIMER, dfssvc.exe, swc_service.exe, sophos, SAVAdminService, SavService.exe, Hyper-V

サービス
停止されるもの:

vss, sql, memtas, mepocs, sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, mysql, Dfs, vmms, vmcompute, Hyper-V


BlackBerry によるサポート

もし Ragnar Lockerランサムウェアのような脅威にさらされているなら、BlackBerry にお任せください。現在 BlackBerry 製品を利用していなくても問題ありません。

BlackBerry のインシデント対応チームは、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。

弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。次の URL からご相談ください。https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

 

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。