この新たなグループはデータ窃取と暗号化に依存していますが、身代金要求メモの処理におけるコーディングミスが、防御側が悪用できる弱点を露呈しています。
Yureiと呼ばれる新たなランサムウェアグループが現れ、二重脅迫モデルを採用しています。このグループは被害者のファイルを暗号化し、機密データを流出させ、復号化および盗んだデータの公開を控えることの対価として身代金を要求します。
このランサムウェアグループは、Check Point Researchによって9月5日に初めて確認されており、すでにスリランカのMidcity Marketing食品製造会社と、インドおよびナイジェリアの企業の計3社を攻撃しています。
Check Point Researchは、この脅威アクターの出自がモロッコにある可能性を示唆しています。
企業を攻撃する際、Yureiランサムウェアはすべてのドライブを列挙し、各ドライブごとに並列でファイルを暗号化して.Yurei拡張子を付与すると、セキュリティ企業は述べています。暗号化には、YureiはChaCha20アルゴリズムを使用し、ファイルごとにランダムなキーとランダムなノンスを生成し、それらを攻撃者の公開鍵を用いたECIESで暗号化します。
その後、壁紙の設定を試みますが、Yureiの開発者が壁紙のURLを指定し忘れたため、身代金要求メモを表示する代わりに単色(黒など)の背景のみが表示されます。暗号化が完了すると、マルウェアは新たに接続されたネットワークドライブを継続的に監視し、暗号化する新たなルーチンに入ります。Yureiはその後、被害者に今後の連絡や価格交渉のための.onionページを提供すると、Check Point Researchはレポートで述べています。
オープンソースコードが迅速な参入を後押し
Yureiは、Goで書かれたPrince-Ransomwareとして知られるオープンソースのランサムウェアコードをほぼ完全に基にして構築されており、いくつかの修正が加えられています。バイナリからシンボルが削除されていなかったため、関数やモジュール名が保持されており、それによって同じものであると特定されました。このランサムウェアコードベースは、Check Point Researchが特定したCrazyHunterなど、他のアクターによるキャンペーンでもすでに使用されています。
これは、脅威アクターが必要な開発スキルや多大な労力をかけずとも、オープンソースのランサムウェアプロジェクトを利用していかに簡単かつ迅速にランサムウェアビジネスに参入できるかを示しています。
オープンソースのランサムウェアコードは、R&D(研究開発)を不要にすることで新規グループの参入障壁を下げます。「ターンキーのコードベース、ビルドスクリプト、動作するランサムワークフローにより、スキルの低いアクターでも数か月ではなく数日で亜種をリリースできます。最小限の編集(ブランド名、並列処理の調整、C2エンドポイントの変更)で新たなグループが即座にデータ窃取を収益化でき、競争優位がエンジニアリングからターゲティング、社会的圧力、交渉手法へとシフトします」と、Ankura Consultingインド担当シニアマネージングディレクターのAmit Jaju氏は述べています。
Devroop Dhar氏(Primus Partners共同創設者兼MD)によると、大規模な開発チームを必要とせず、少人数でもわずかな編集でリリースが可能です。コストも安く、迅速で、粗削りなバージョンでもデータ窃取や漏洩の脅しが機能すれば収益化できます。
ダウンタイムを超えるさらなるリスク
二重脅迫型ランサムウェアは初期バージョンのようで、抜け穴があります。ランサムウェアはしばしばシャドウコピーを削除し、被害者がWindowsの標準復元機能を使えないようにします。しかしYureiはシャドウコピーを削除しておらず、有効になっていれば被害者はYureiと交渉せずともファイルを以前のスナップショットに復元できます。
しかし、データが盗まれた場合、バックアップだけでは問題は解決しません。「企業がシステムを復元しても、攻撃者は盗んだデータの公開を引き続き脅迫する可能性があります。それによって、規制による罰金、訴訟、評判の失墜、知的財産の流出など新たなリスクが生じます。これは単なるダウンタイム以上の問題であり、システムが復旧した後も長く影響が残ります」とDhar氏は述べています。
防御上の隙は長くは続かない
このような欠陥は通常、長くは続きません。脅威アクターは次のバージョンで簡単に修正できるため、CISOは次のバージョンでこれらの隙が修正されることを念頭に置くべきです。
「企業はインターネットに公開されているサービスの強化によって初期アクセスを遮断し、すべての場所でフィッシング耐性のある多要素認証を強制し、レガシー認証をブロックすべきです」とJaju氏は述べています。「企業はデータ損失防止(DLP)と出口制御を導入し、UEBA(ユーザー・エンティティ行動分析)を大量ファイルアクセスに合わせて調整し、クラウドストレージやMFT(管理型ファイル転送)を監視すべきです。攻撃を封じ込めるために、Active Directoryや重要データゾーンを分割し、ジャストインタイム管理や特権アクセス管理(PAM)を徹底し、インシデント時の連絡・法的対応フローを準備してください。
Jaju氏はさらに、企業はイミュータブルバックアップとオープンソース指標(Prince/Yureiビルドアーティファクト、PowerShellパターン、ChaCha20/ECIESマーカー)を用いた脅威ハンティングによるインテリジェンスでレジリエンスを計画し、コピーキャットフォークに関する迅速なインテリジェンスを購読すべきだと付け加えています。また、サプライヤーリスクについても、ネットワークやデータアクセスを持つサードパーティにMFA、EDR、ログ取得を義務付け、契約にキルスイッチコントロールを事前に盛り込むべきです。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。