ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

高速ランサムウェアを詳細分析:データを暗号化するKarma ランサムウェア

本ブログ記事は、2021年11月4日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

 

概要

Karma は即効性のあるランサムウェアであり、侵害したマシンのデータを素早く暗号化するように設計されています。2021 年半ばに出現した当初は ChaCha20 として知られるストリーム暗号が使用されていましたが、最近のサンプルではこれが Salsa20 に置き換わっており、マルウェアが今なお開発中であることを示唆しています。

 

Karma ランサムウェアグループは、Onion ページによってホストされるリークサイト「Karma Leaks」を開設しています。このサイトでは、組織のネットワークに侵入してランサムウェアを展開することをほのめかすブログ形式の投稿が見られます。これは、グループが身代金の金額を設定するにあたって被害者のデータの価値をより良く理解するための手法です。このサイトは二重脅迫の手段としても利用されており、被害を受けた組織が身代金の支払いを拒否するか、あるいは支払いを期日内に行わなかった場合、組織のデータが公開されます。

 

2021 年 10 月、Karma ランサムウェアは複数回にわたって修正され、サンプルサイズの縮小や暗号化ルーチンの変更など、急速な進化を遂げました。最新バージョンのランサムウェアによって暗号化されるファイルには、旧バージョンで使われていたファイル拡張子「.KARMA」の代わりに「.KARMA_V2」が付加されます。

 

オペレーティングシステム

リスクと影響

技術的解析

感染経路

Karma ランサムウェアの感染経路は明らかになっていませんが、この脅威グループが被害者に対して行った偵察行為に関する初期調査結果から、その経路は多岐にわたると考えられます。いったん足場を確立すると、グループはおそらく横展開して価値のあるデータを持ち出そうと試みています。そして偵察と情報窃取が完了すると、Karma ランサムウェアを実行し、侵害した被害者のシステムを暗号化します。

ファイルの解析

ランサムウェアのファイル自体は小さく、サンプルのサイズは 15 KB から 130 KB です。しかしその小ささとは裏腹に、実際に確認されたいずれのサンプルでもソフトウェアパッカーは使用されていませんでした。これらのサンプルはすべて Windows® の 32 ビット Portable Executable(PE)ファイルで、コンパイル時のタイムスタンプは 2021 年、コンパイラは Microsoft® Visual C++ でした。

Karma のサンプルのほとんどはデジタル証明書を持たない未署名のものでしたが、既知のサンプルのうち少なくとも 1 つには、まだ失効していないデジタル署名が含まれていました。

図 1:Karma_V2 サンプルの静的情報

すでに述べたように、Karma は今なお開発中のようです。BlackBerry はこれまで、初期のサンプルから KARMA_V2 に至るまで、Karma が明らかに幅広い進化を遂げていることを確認してきました。解析対象の Karma のサンプルは短期間のうちに段階的に小さくなり、暗号化ルーチンが変更され、より複雑になっています。

Karma の初期のサンプルでは、暗号化中にコンソール画面がポップアップしていました。つまり、注意力の高いユーザーであれば、すべてのデータが暗号化される前にプロセスを終了させようとすることも可能でした。しかし、このマルウェアの暗号化ルーチンの速度を考えると、データが一切損なわれずに済むほど迅速に行動するのは困難だったと思われます。

図 2:初期の Karma に見られるコンソール画面

より新しいサンプルには Karma_V2 という静的文字列が含まれています。これらのサンプルは以前のバージョンと多くの共通点を持っていますが、初期に被害者のデバイス上で表示されていたコンソール画面は見えなくなっています。暗号化の速度と方式は変わっていないようです。

 

Karma のミューテックス

Karma_V2 は元のバージョンと同じく、最初に「KARMA」というミューテックスを作成します。このミューテックスは、ランサムウェアのインスタンスがすでに実行されている場合に別のインスタンスの実行を防ぐ措置として機能します。これはおそらく再感染を防ぐためと、ランサムウェアが誤って 2 回実行された場合に起こり得る二重暗号化を防ぐために使用されています。

システム上でランサムウェアが 2 回実行されると、二重に暗号化されたデータは壊れて復旧不可能になる可能性があります。これでは、ユーザーデータの復号と復旧のために支払いを要求するというマルウェアの目的が果たせません。

図 3:ミューテックス「KARMA」の作成

Karma の実行には crypt32.dll が必要です。このダイナミックリンクライブラリ(.DLL)は、Windows の CryptoAPI で暗号化通信や認証機能を実装するために使われるネイティブモジュールであり、Karma では暗号化の際に使用されます。

図 4:crypt32.dll のロード

マルウェアは DLL をロードした後、被害者のデバイスに接続されており、かつ利用可能なすべてのドライブを走査します。論理ドライブを認識してドライブの検証が済むと、その内容を暗号化しようと試みます。

 

暗号化

Karma のサンプルのすべてが同じ目的を持っているわけではありません。サンプルの動作は同じでも、対象とするファイルやフォルダーが異なる場合があります。

Karma のサンプルでは、暗号化から除外するファイル拡張子やフォルダーに違いが見られます。この情報はマルウェアの内部に静的にハードコードされ、各サンプルの .rdata セクションに格納されています。

図 5:除外フォルダーの静的参照

図 6:マルウェアが実行時に除外項目を参照している様子

これらの除外項目は、Windows のコアおよび重要コンポーネントを誤って暗号化しないようにするために用意されていると考えられます。

図 7:ファイル拡張子の除外リスト

 

KARMA (ChaCha20)

SHA1:

a9367f36c1d2d0eb179fd27814a7ab2deba70197

 

ファイルサイズ:

127 KB

除外される拡張子:

  • .EXE
  • .LOG
  • .BAT
  • .INI
  • .URL
  • .PIF
  • .MP4
  • .MSI
  • .LNK

除外されるフォルダー:

  • Windows
  • Program Files
  • Program Files (x86)
  • ProgramData

暗号化済みファイルの拡張子:

.KARMA

脅迫状:

KARMA-AGREE.txt

 

KARMA (Salsa20)

SHA1:

08f1ef785d59b4822811efbc06a94df16b72fea3

ファイルサイズ:

19 KB

除外される拡張子:

  • .EXE
  • .INI
  • .DLL
  • .URL
  • .LNK

除外されるフォルダー:

  • Windows
  • $Recycle Bin
  • All Users
  • Default User
  • Public
  • ProgramData
  • AppData
  • Program Files
  • Program Files (x86)
  • Default
  • System Volume Information
  • Searches

暗号化済みファイルの拡張子:

KARMA

脅迫状:

KARMA_ENCRYPTED.txt

 

KARMA_V2

SHA1:

338cff5f17663b7552fb0d687d3b67e9b47fca95

ファイルサイズ:

18 KB

除外される拡張子:

  • .EXE
  • .INI
  • .DLL
  • .URL
  • .LNK

除外されるフォルダー:

  • Windows
  • $Recycle Bin
  • All Users
  • Default User
  • Public
  • AppData
  • ProgramData
  • Program Files
  • Program Files (x86)
  • Default
  • System Volume Information
  • Searches

暗号化済みファイルの拡張子:

KARMA_V2

脅迫状:

KARMA_V2_ENCRYPTED.txt

 

ファイルがマルウェアの暗号化ルーチンで処理され、ファイル拡張子が付加されると、そのファイルには暗号化が成功したことを示す以下の 8 バイトのデータが追記されます。

図 8:Karma_V2 によって暗号化されたファイル

 

壁紙の変更

これまでに解析した Karma ランサムウェアのすべてのサンプルでは、暗号化の完了後に「background.jpg」というファイルが作成されています。このファイルは実行時に生成され、%Temp% ディレクトリに保存されます。

図 9:「background.jpg」の生成

マルウェアが暗号化を終えると、被害者のデスクトップ画像が以下のように変更されます。

図 10:Karma の被害を受けたシステム

 

脅迫状

図 11:Karma の脅迫状の例

Karma の脅迫状にはいくつかの違いが見られますが、形式はどのバージョンでも基本的に同じです。

通常、脅迫状の内容は Base64 でエンコードされており、ファイル内の静的文字列に格納されています。この内容はメモリ上にデコードされ、その後 KARMA-ENCRYPTED.txt または KARMA-AGREE.txt というテキストファイルに出力されます。脅迫状はマルウェアが暗号化したファイルを含むすべてのフォルダーに対して作成され、各フォルダー内に置かれます。

脅迫状には脅威アクターのリークサイトへの Onion リンクが含まれています。また、Karma の特定のサンプルごとに固有のメールアドレスも記載されています。

多くの場合、これらのアドレスは以下のメールサービスのうち少なくとも 1 つを含むというパターンに従っています。

  • OnionMail
  • Tutanota
  • ProtonMail

 

リークサイト

他の有力ランサムウェアの脅威アクターは、悪意のあるコードを RaaS(Ransomware-as-a-Service)として別の脅威アクターに販売していることが確認されています。その一方で、Karma は作成者によってのみ使用されているようです。

Karma の脅威アクターが 2021 年 5 月に Onion ページへの投稿を開始して以来、この簡易な WordPress サイトには、身代金の支払いを拒否した被害者の名前とデータが盛んに掲載されています。

図 12:記事執筆時点での「Karma Leaks」サイトの内容(編集済み)

2021 年 11 月の時点では、グループの要求を拒否したか、あるいは連絡を取らなかったためにデータを公開された 4 つの被害組織のデータがサイトに掲載されています。図 12 に示した各投稿には、脅威アクターによって窃取された機密情報のダウンロードリンクが複数含まれています。このサイトでは、身代金を支払えばこれらの「二重脅迫」の投稿が削除されることが示唆されています。つまり、Karma の被害者数は実際にはさらに多い可能性があるということです。

Karma ランサムウェアグループは、大規模な多国籍企業、特に従業員が 1,000 人以上で収益が 10 億ドル規模の企業を標的にする傾向があるようです。

図 13:Karma のリークサイトの「About」ページ

Karma のサイトにはブログ形式の投稿がいくつかあり、近日中にデータを公開する予定の被害者についてや、グループに連絡を取るための他の方法について記載されています。図 13 に示したように、「About」ページにはいくつかの追加情報が掲載されています。

具体的な身代金の金額は脅迫状にもサイト上にも公開されていません。通常、ランサムウェアはファイルの復号に対し、被害者ごとに設定した金額か、あるいは一定額の支払いをすぐに要求します。

Karma ランサムウェアグループは RaaS モデルのサービスを介さず組織に侵入していると考えられるため、身代金の金額はランサムウェアがもたらす被害だけで決まるのではなく、被害者の支払い能力や被害データの重要度によっても変わる可能性があります。

 

まとめ

Karma ランサムウェアの活動は進化が著しく、また容赦のないものです。Karma は他に知られているランサムウェアファミリーと多くの共通点を持っていますが、開発が速く技術の進歩も目覚ましいため、このマルウェアとその背後の脅威アクターは極めて危険な存在であると言えます。二重脅迫の手段として利用されている「Karma Leaks」からは、支払いに応じない被害者をさらし者にしようとする脅威グループの意思が読み取れます。

「Karma Leaks」の投稿と KARMA_V2 の開発状況から、この脅威アクターは活動をさらに活発化させており、次に標的とする大規模な組織を積極的に探していると考えられます。

 

YARA ルール

以下の YARA ルールは、この記事で説明した脅威を捕捉するために BlackBerry の Research & Intelligence Team が作成しました。

import "pe"

rule Mal_Ransom_Win32_Karma_2021
{
    meta:
        description = "Detects Karma Ransomware 2021"
        author = "Blackberry Threat Research Team "
        date = "2021-10"
license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"

    strings:
                                $s1 = "WW91ciBuZXR3b3JrIGhhcyBiZWVuIGJyZWFjaGVkIGJ5IEthcm1hIHJhbnNvbXdhcmUgZ3JvdXAu" ascii wide
                                $x2 = "crypt32.dll" nocase
                                $x3 = "KARMA" ascii wide
                                $x4 = "Sleep" nocase                            

      condition:

        //PE File
        uint16(0) == 0x5a4d and

        //Base64 Karma Note
        all of ($s*) and

        //All Strings
                                all of ($x*)
}

 

侵入の痕跡(IOC)

Ransom Note:
KARMA-AGREE.txt
KARMA-ENCRYPTED.txt

Encrypted Files:
*.KARMA
*.KARMA_V2

Mutex:
Global\KARMA

Malware Digital Cert:
Serial: {00 C4 CD EE EB 36 88 DA 08 1F 95 D6 AA 33 7E 93 D1}

Payment Email IoC’s:
JamesHoopkins1988[@]onionmail[.]com
Leslydown1988[@]tutanota[.]com
ollivergreen1977[@]protomail[.]com
IndiAdams[@]onionmail[.]org
Jimmyhendricks[@]tutanota[.]com
karlironsterson122[@]protomail[.]com

Leak Site:
hxxp://3nvzqyo6l4wkrzumzu5aod7zbosq4ipgf7ifgj3hsvbcr5vcasordvqd[.]onion/

SHA256:
KARMA_V2

1c41acdc2e9d8b89522ebb51d65b4c41d7fd130a14ce9d449edb05f53bbb8d59
6c98d424ab1b9bfba683eda340fef6540ffe4ec4634f4b95cf9c70fe4ab2de90

KARMA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 

BlackBerry によるサポート

もし Karma ランサムウェアのような脅威にさらされているなら、BlackBerry にお任せください。現在 BlackBerry 製品を利用していなくても問題ありません。

BlackBerry のインシデント対応チームは、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。

弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。次の URL からご相談ください。

https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

 

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・BlackBerry Japan:https://www.blackberry.com/ja/jp

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。