出典: Design Pics Inc. via Alamy Stock Photo
新たに発見されたランサムウェアグループ「Dire Wolf」は、先月の出現以来、世界中の16の組織をすでに攻撃しており、主に技術と製造業セクターを中心に活動していることが研究者によって明らかになりました。
このグループは、身代金を支払うまでの猶予期間を1か月とする二重恐喝戦術を使用し、特定の被害者に合わせたカスタム暗号化ツールを展開していると、セキュリティ企業Trustwaveが6月24日に発表したブログ投稿で明らかにしました。Trustwave SpiderLabsの研究者は最近、この新たな脅威グループからのランサムウェアサンプルを発見し、その動作方法についての洞察を得たと述べています。
これまでに、このグループの被害者は11か国に及び、米国とタイが最も多くの攻撃を報告しており、次いで台湾が続いています。グループのデータ漏洩サイトに掲載されている16の被害者のうち5件は、6月末までにデータがアップロードされる予定であり、これはおそらく身代金を支払わなかったためだと投稿には記されています。
「調査中に、脅威アクターが最初にサンプルデータと流出したファイルのリストを公開し、被害者に対してすべての盗まれたデータを公開する前に約1か月の支払い猶予を与えることを観察しました」とTrustwave SpiderLabsのNathaniel Moralesは投稿で説明しています。「ある被害者からの身代金要求は約50万ドルでした。」
内部のぞき見
Trustwaveは、Dire Wolfランサムウェアのサンプルを調査しましたが、これは最初にUPXを使用してパックされており、これは脅威アクターがマルウェアを難読化し、基本的な静的解析を制限するために一般的に使用する方法です。
それが解凍されると、研究者たちはバイナリがGolangで書かれていることを発見しました。これはサイバー犯罪者がクロスプラットフォームの移植性と、Golangで書かれたマルウェアを検出することの難しさから使用するプログラミング言語です。
実行されると、Dire Wolfランサムウェアはまずシステムがすでに暗号化されているかどうか、または「Global\direwolfAppMutex」というミューテックスの存在を確認し、同時に1つのインスタンスのみが実行されるようにします。どちらかの条件が満たされると、ランサムウェアは自らを削除し、実行を終了します。
どちらの要因も存在しない場合、ランサムウェアはイベントログを無効にし、その実行を妨げる可能性のある特定のプロセスやサービスを終了します。これらの機能の1つは、「eventlog」プロセスを終了することでWindowsシステムのログを継続的に無効にするよう設計されており、Powershellコマンドを実行することで行われますとMoralesは書いています。また、さまざまなサービスやアプリケーションを終了し、システムの回復オプションを削除するために一連のWindowsコマンドを実行しますと彼は付け加えました。
Dire Wolfの暗号化と身代金戦術
実行されると、ランサムウェアはCurve25519とChaCha20アルゴリズムの組み合わせを使用して暗号化を行い、暗号化されたファイルに.direwolf拡張子を追加します。ランサムウェアは、.exe、.dll、.sys、.drv、.bin、.tmp、.iso、.img、および.direwolfの拡張子を持つファイルを除いて、マシン上のすべてのファイルを暗号化します。
このランサムウェアはまた、内容に基づいて、Dire Wolf暗号化ツールが特定の被害者に合わせて調整されていることを示唆する身代金メモをドロップします。これは、メモに対象の組織に固有のハードコードされたルームIDとログインアクセスが含まれているためですとMoralesは書いています。また、被害者が脅威アクターと直接交渉するためのライブチャットルームへのログイン情報(ルームID、ユーザー名、パスワード)も提供しています。
Dire Wolfはまた、被害者のシステムからデータが流出したことを証明するために、gofile[.]ioにアップロードされたサンプルドキュメントへのリンクを提供していますと投稿には記されています。「これは、Dire Wolfが被害者に特化した暗号化ツールと個別の交渉チャンネルを利用して、ターゲットを絞った攻撃を行っていることを強く示唆しています」とMoralesは書いています。
新たなランサムウェアの脅威から守る方法
Dire Wolfの出現は、LockBitやGhostのような悪名高いランサムウェアアクターの最近の混乱にもかかわらず、常に新しい脅威アクターがその地位を引き継ぐ準備をしていることを示しています。実際、2025年初頭にはランサムウェア活動の大幅な増加がありました。1月には、最近のBlackFogレポートによれば、前年より21%増加し、2020年の追跡開始以来の最高記録となる92件のランサムウェア攻撃が公開されました。IT ISACのレポートによれば、2025年第1四半期には合計1,537件のランサムウェア攻撃があり、前年同期の572件と比較して169%の増加を示しています。
これまでのところ、TrustwaveはDire Wolfが使用している初期アクセス、偵察、または横方向の移動技術を検出していないため、組織は一般的な脅威に対する防御のためにセキュリティのベストプラクティスに従うべきだとMoralesは述べています。これには、初期アクセスを避けるためのエンドポイントのセキュリティ確保や、システムの重大な脆弱性を更新して悪用されないようにすることが含まれます。
防御者はまた、Dire Wolfが使用する観察された技術や、他のランサムウェアアクターによって示された一般的な妥協方法を監視することも必要ですとTrustwaveは述べています。これには、可能であれば、Moralesのブログ投稿に記載された影響と防御回避技術を捉える検出ルールのセットをセキュリティソリューションに提供することが含まれるべきです。
翻訳元: https://www.darkreading.com/threat-intelligence/dire-wolf-ransomware-manufacturing-technology