- Sophosは、データ流出後にファイルを遠隔で暗号化する新しいランサムウェア亜種「WantToCry」を特定しました。これにより検知の機会が大幅に減少します
- 攻撃者は露出したSMBサービスを弱い認証情報で悪用し、その後、被害者ファイルを暗号化されたバージョンで上書きします
- 身代金要求は異常に低く、600~1,800ドルの範囲であり、限定されたスコープと広範なネットワークへの影響がないことを反映しています
セキュリティ研究機関Sophosは、WantToCryと呼ばれる新しいランサムウェア亜種を確認しました。その暗号化メカニズムにより、従来のエンクリプタより検知がはるかに難しくなっています。
詳細な分析において、Sophosは攻撃者がまずShodanやCensysなどのスキャナーを使用して、サーバーメッセージブロック(SMB)サービスを使用するインターネット接続デバイスを探すと述べました。
SMBはネットワークファイル共有プロトコルで、コンピュータがローカルネットワーク上のファイルやその他のリソースに、あたかも自身のシステムにあるかのようにアクセスできるようにします。Microsoft Windows環境で広く使用されており、共有ドライブとネットワーク認証を有効にし、アプリケーションがリモートサーバー上のファイルを操作できるようにします。
数百万ではなく数百ドルを要求
TCPポート139および445が開いているSMBサービスを発見した後、彼らはデフォルト、頻繁に使用される、またはその他の弱い認証情報を試し、機能してアクセスを許可するまで試み続けます。
ただし、内部では、WantToCryは通常のエンクリプタが行うようにファイルをローカルにロックダウンしません。代わりに、まずファイルを流出させ、暗号化処理をリモートサーバー上で実行します。その後、暗号化されたファイルを被害者デバイスに再配置し、それらを上書きして、復号化キーなしでは無用にしてしまいます。
このプロセスにより、防御者の仕事ははるかに難しくなります:
「検知サーフェスは大幅に減少しています。なぜなら、WantToCryはローカルマルウェア実行なしで動作し、ファイルの流出とディスクへの再書き込み以外の侵害後アクティビティがないからです」とSophosは説明しました。
WantToCryが際立つもう1つの側面は身代金要求です。通常、サイバー犯罪者は復号化キーに数万ドルを要求し、エンタープライズ被害者に対しては数百万ドルになります。しかし、ここでは600~1,800ドルを要求しています。
「これらの金額は従来の身代金要求と比較して低く、ランサムウェア展開の限定されたスコープを反映している可能性があります」とSophosは追加しました。「WantToCry攻撃には侵害後アクティビティがありません。つまり、侵害された環境全体にランサムウェアの最大の影響をもたらすためのポジショニングはありません。したがって、多くの場合、暗号化はインターネットにSMBサービスを露出させたホストに保存されたファイルでのみ発生する可能性があります。」
Sophosはまた、WantToCry操作者がウェブサイトを持たず、現在被害者を公開していないと述べました。
