出典: Science History Images(Alamy Stock Photo経由)
新たなランサムウェアオペレーターが登場し、オープンソースのマルウェアを利用して二重脅迫攻撃を仕掛け、最初の複数の被害者が出ています。しかし、このランサムウェアには欠陥があり、被害者が盗まれ暗号化されたデータを(少なくとも部分的に)回復できる方法が残されています。
Yureiランサムウェアは9月5日に初めて観測され、最初のデータ漏洩被害者としてスリランカの食品製造会社MidCity Marketingが標的となりました。同社の盗まれたデータは、脅迫攻撃の後にグループによって公開されたと、Check Pointの調査がブログ記事で今週明らかにしました。9月9日までに、インドとナイジェリアの2社も被害者リストに加えられました。Yureiの目的は、運営者がモロッコにいると考えられており、恐怖とデータ漏洩の潜在的な影響を利用して、データ回復なしで被害者に身代金を支払わせることにあります。そのため、記事によれば、グループは初期段階からすでに一定の成功を収めています。
このグループは、GitHubで入手可能なオープンソースのランサムウェアファミリー「Prince-Ransomware」のバイナリをわずかに改変したバージョンを使用しています。ランサムウェアはGo言語で書かれており、一部のウイルス対策ツールによる検出を困難にし、CやC++よりも開発が容易で、異なるプラットフォームへのクロスコンパイルも可能です。これらの理由から、「Goはマルウェア開発者にとって依然として魅力的な選択肢です」とCheck Pointは述べています。
「これは、オープンソースのマルウェアがサイバー犯罪者の参入障壁を大幅に下げ、スキルの低い脅威アクターでもランサムウェア攻撃を開始できることを示しています」と記事は述べています。
Yureiランサムウェア集団によるサイバー攻撃の主な特徴
Yureiは日本の民間伝承に登場する霊から名前を取っており、他のランサムウェア攻撃者と同様に、システムを暗号化するだけでなく、後に利用するためにデータを盗み出し、身代金を脅し取ります。また、ランサムウェアの被害者リストや侵害の証拠を掲載するブログを運営し、被害者との交渉用に安全なチャットインターフェースも提供しています。
YureiがPrince-Ransomwareに加えた改変にもかかわらず、同グループのバージョンには「重大な欠陥」があり、被害者が少なくとも一部のファイルを復元できる方法が残されています。これは、ランサムウェアがWindowsの標準機能であるボリュームシャドウコピーサービス(VSS)によって生成された既存のシャドウコピーを削除しないためです。これらは、VSSが有効になっていれば保存されるファイルやフォルダ全体のバックアップスナップショットです。
「ランサムウェアは通常、被害者がWindowsの標準回復オプションを利用できないように、これらのコピーを標的にして削除します」とCheck Pointは述べています。
Yureiランサムウェアにはこの機能が含まれていないため、シャドウコピーが有効になっていれば、被害者はYureiと交渉することなく、以前のスナップショットからファイルを復元できると記事は述べています。
「この見落としは、この脅威アクターの運用における洗練度の低さを改めて示しています」とCheck Pointは述べており、オープンソースのランサムウェアが初心者のサイバー犯罪者でも活動を開始できるようにしても、経験豊富な犯罪者ほど最初から巧妙にはなれないことを示しています。
Yureiランサムウェア攻撃への防御策
したがって、新興のランサムウェアグループによる侵害から組織を守るための重要な防御策は、VSSを有効化し、システムのスナップショットを継続的に取得することだとCheck Pointは述べています。ブログ記事には、攻撃の兆候を特定するためのIoC(侵害指標)リストも掲載されています。
それでも、ランサムウェアグループがデータ窃取とそのオンライン公開による脅迫へとますますシフトしている中で、「これは運用上の復旧には役立つが、脅迫から守るものではない」と記事は述べています。
「Yureiが自身のブログで述べているように、被害者が身代金を支払う主な圧力点はデータ漏洩の脅威です」と記事は述べています。「これは企業にとって重大な影響を及ぼし、Midcity Marketingの場合は食品安全や国家のサプライチェーンにも影響を与える可能性があります。」
スキルが低く経験の浅いランサムウェア攻撃者であっても、脅迫の心理を利用して被害者を搾取できることから、組織は警戒を怠らず、ランサムウェアやその他のマルウェアの脅威を阻止するために最善のセキュリティ対策を維持すべきだとCheck Pointは述べています。
翻訳元: https://www.darkreading.com/threat-intelligence/emerging-yurei-ransomware-claims-first-victims