開発中の新たなShinySp1d3r Ransomware-as-a-Service(RaaS)プラットフォームのビルドが流出し、今後展開される恐喝オペレーションのプレビューが明らかになりました。
ShinySp1d3rは、新興のRaaSの名称であり、ShinyHuntersおよびScattered Spiderといった恐喝グループに関係する脅威アクターによって作成されています。
これらの脅威アクターは、これまで主に他のランサムウェアギャングの暗号化ツールを攻撃に利用してきました。たとえば、ALPHV/BlackCat、Qilin、RansomHub、DragonForceなどですが、現在は自らおよびアフィリエイトが攻撃を展開できるよう、独自のオペレーションを構築しています。
この新たなRaaSに関する情報は、最初はTelegramチャンネルで明らかになりました。そこで、「Scattered Lapsus$ Hunters」と名乗る脅威アクターたちが、3つのギャング(Scattered Spider、Lapsus$、ShinyHunters)の連合体の名称を組み合わせ、Salesforceから盗まれたデータの被害者を恐喝し、さらにJaguar Land Rover(JLR)を標的にしようとしていました。
ShinySp1d3r暗号化ツール
BleepingComputerは、VirusTotalにアップロードされたShinySp1d3rのサンプルを発見しました。その後、追加のサンプルもアップロードされ、研究者たちは今後登場するランサムウェア暗号化ツールの解析を進めています。
注:一部の画像では名称が「Sh1nySp1d3r」と表示されていますが、BleepingComputerは、このRaaSはShinySp1d3rという名称で運用されており、今後のビルドで名前が変更されると伝えられています。
暗号化ツールはShinyHunters恐喝グループによって開発されており、LockBitやBabukのような既存のリーク済みコードベースを利用するのではなく、ゼロから構築されています。
出典:BleepingComputer
その結果、ShinySp1d3rのWindows向け暗号化ツールには、多数の機能が実装されています。その中には他の暗号化ツールにも見られる一般的な機能に加え、これまで見られなかったものも含まれます。
- EtwEventWrite関数をフックし、Windowsイベントビューアへのログ記録を防止する。
- ファイルを開いたままにして暗号化を妨げるプロセスを終了させる。これは、ファイルハンドルを持つプロセスを列挙し、それらを強制終了することで行われる。暗号化ツールには、Restart Manager APIを利用する「forceKillUsingRestartManager」関数も備わっているが、現時点では未実装。
- ドライブの空き領域を「wipe-[random].tmp」というファイルにランダムデータを書き込むことで埋める。これは削除済みファイルを上書きし、復元を極めて困難、もしくは不可能にするために行われる。
- ハードコードされたプロセスおよびサービスのリストを終了させる。
- 利用可能なメモリを確認し、一度に読み込むデータ量の最適値を算出する。
- ローカルネットワーク上の他デバイスへ拡散する機能を持ち、以下のいずれかの方法を利用する:
- deployViaSCM – マルウェアを実行するサービスを作成
- deployViaWMI – WMIのWin32_Process.Createを用いてマルウェアを実行
- attemptGPODeployment – scripts.iniにGPOのスタートアップスクリプトを作成し、マルウェアを実行
- 解析妨害機能を備え、メモリバッファの内容を上書きしてフォレンジック解析を困難にする。
- シャドウボリュームコピーを削除し、それらを利用した暗号化ファイルの復元を防ぐ。
- オープンなネットワーク共有を持つホストを探索し、それらを暗号化しようと試みる。
- 異なるチャンクサイズおよびオフセットでファイルを暗号化する。その理由や、この情報が暗号化ファイルのヘッダーに保存されているかどうか(後述)は不明。
ファイルを暗号化する際、ランサムウェアはChaCha20暗号アルゴリズムを使用し、秘密鍵はRSA-2048で保護されます。各ファイルには、以下のフォルダ例に示すように、ShinyHuntersがBleepingComputerに対して「数学的な公式」に基づくと主張する固有の拡張子が付与されます。
出典:BleepingComputer
各暗号化ファイルには、下図のようにSPDRで始まりENDSで終わるファイルヘッダーが含まれています。このヘッダーには、ファイル名、暗号化された秘密鍵、その他のメタデータなど、暗号化ファイルに関する情報が格納されています。
出典:BleepingComputer
暗号化されたデバイス上のすべてのフォルダには、現在はR3ADME_1Vks5fYe.txtという名称でハードコードされた身代金メモが配置されます。このメモには、被害者のファイルに何が起きたのか、どのように身代金交渉を行うか、そして連絡用のTOXアドレスなどが記載されています。
身代金メモにはTor上のデータリークサイトへのリンクも含まれていますが、現時点では無効なプレースホルダーのonion URLが記載されています。
「本通知はShinySp1d3rグループを代表して発行されたものです。インシデント対応担当者、技術部門のリーダー、または指定された外部アドバイザーのみを対象としています。」という文言で身代金メモは始まります。
「貴社インフラ内で重大な暗号化イベントが発生しました。一部のデジタル資産はアクセス不能となり、選択されたデータは安全にミラーリングされました。本メッセージの目的は混乱を引き起こすことではなく、貴社チームに対し、この状況を効率的かつ恒久的に解決するための機密の機会を提供することにあります。」
出典:BleepingComputer
身代金メモはさらに、被害者には交渉を開始するまで3日間の猶予があり、それを過ぎるとデータリークサイト上で攻撃が公表されると警告しています。
身代金メモに加え、暗号化ツールはWindowsの壁紙も変更し、何が起きたのかを被害者に警告するとともに、身代金メモを読むよう促します。
出典:BleepingComputer
BleepingComputerが入手したのはWindows向け暗号化ツールのみですが、ShinyHuntersによると、すでにランタイム設定を備えたCLIビルドを完成させており、LinuxおよびESXi向けバージョンもほぼ完成しているとのことです。また、速度に最適化された別の「ライトニングバージョン」も開発中だとしています。
「現在、“ライトニングバージョン”の純ASM版にも取り組んでいます。LockBit Greenのようなもので、別のWindowsロッカー亜種ですが、完全にアセンブリで書かれており、かなりシンプルです」とShinyHuntersはBleepingComputerに語りました。
これは開発中ランサムウェアのデバッグビルドであるため、今後さらに多くの機能が追加される可能性があります。
RaaSオペレーション自体については、ShinyHuntersは、自分たちのグループが「Scattered LAPSUS$ Hunters」という名称の下で運営すると述べています。
「はい、リーダーは私たち“ShinyHunters”ですが、“Scattered LAPSUS$ Hunters(SLH)”ブランドの下で運営されます。そのためShinySp1d3rという名称になっており、これらのグループ間の“同盟”や“協力関係”を示すものです」とShinyHuntersはBleepingComputerに語りました。
また、この脅威アクターは、製薬会社、病院、クリニック、保険会社などを含むヘルスケア分野の企業は、彼らの暗号化ツールで標的にすることを禁止していると主張しています。しかし、BleepingComputerは過去にも他のランサムウェアギャングから同様の主張を聞いており、その多くは後にこうしたポリシーの違反を容認しています。
他のランサムウェアオペレーションと同様に、ShinyHuntersはロシアおよびその他CIS諸国への攻撃を禁止しています。これは、多くのアフィリエイトがこれらの地域から参加するため、彼ら自身が法執行機関の標的となる可能性があるためです。
