カオスランサムウェア、攻撃的な新C++バリアントでアップグレード

出典：Olekcii Mach（Alamy Stock Photo経由）

カオスランサムウェアは、「攻撃的」とされる新しいバリアントによって大幅な刷新が行われ、破壊的な戦術や仮想通貨窃盗のためのクリップボード乗っ取り、その他の機能が追加され、作戦の迅速化と効果向上が図られています。

FortiGuard Labsの研究者は、C++で書かれたカオスランサムウェアの新バージョンを特定しました。これは.NETで書かれていない初めてのバージョンであり、水曜日に公開されたレポートで明らかにされました。この進化により、実行中の妨害がより困難になり、従来バージョンよりも破壊的な新機能が多数導入されています。

「この進化は、カオスがより攻撃的な手法へとシフトしていることを示しており、被害者に対する運用面での影響と経済的リスクの両方を増大させています」とFortiGuardの研究者Yen-Ting Leeはレポートで述べています。

具体的には、Chaos-C++は新たな暗号化機能を追加しており、ファイル全体の暗号化ではなく複数の手法を組み合わせ、大容量ファイルの場合は暗号化せず内容を削除することで破壊します。

「この方法は処理時間を短縮し、大量データに対する攻撃をより迅速に実行できるため、効率性が向上します」とLeeは記しています。

新バリアントのもう一つの重要な特徴は、「高度なクリップボード乗っ取りメカニズム」であり、コピーされたビットコインアドレスを攻撃者のウォレットにすり替えます。「この破壊的な暗号化と隠密な金銭窃取の二重戦略は、カオスがより攻撃的かつ多面的な脅威へと進化し、金銭的利益の最大化を狙っていることを示しています」とLeeは指摘しています。

進化するカオス

カオスはランサムウェア・アズ・ア・サービス（RaaS）型のオペレーションで、初めて登場したのは7月です。Cisco Talosによると、元BlackSuitランサムウェアギャングのメンバーが関与している可能性が高く、同社が最初にグループを分析しました。このオペレーションは「ビッグゲームハンティング」や二重脅迫攻撃（被害者ファイルの暗号化とデータ流出の両方を行う）を専門としています。

FortiGuard Labsの詳細な技術分析によると、新しいC++バージョンのカオスの目的は、より迅速かつ成功率の高い実行と暗号化による金銭的目標の達成にあるようです。

バリアントは実行後15秒待機してからターゲットファイルの列挙を開始します。これはサンドボックス解析を回避し、検出の可能性を下げるためと考えられます。列挙プロセスはユーザーディレクトリ（デスクトップ、ドキュメント、ダウンロードなど）から始まり、その後他の利用可能なドライブへと範囲を広げます。

暗号化プロセスが開始されると、Chaos-C++は従来バージョンと比べて非常に特異で高度な動作を示します。ターゲット候補が特定されると、Chaos-C++はファイルサイズに基づいて各ファイルの処理方法を判断します。50MB未満のファイルは完全に暗号化され、50バイトから1.3GBのファイルはスキップされてそのまま残されます。「これは暗号化時間の短縮や、バックアップによく含まれる大容量ファイルでの検出回避を狙った可能性があります」とLeeは記しています。

1.3GBを超えるファイルは削除されます。「この異例の戦術はアーカイブ、データベース、バックアップなどに対して不可逆的なデータ損失を引き起こします」とLeeは述べています。

これは珍しい動きであり、通常ランサムウェアグループは被害者がデータを復元できなくなるためファイルを削除しません。そうすると被害者が身代金を支払う動機がなくなるためです。このことは、組織がファイル復旧に価値を見いださない場合、カオスの二重脅迫戦略を危うくする可能性があります。

暗号資産窃取機能

Chaos-C++のクリップボード乗っ取り機能は、従来のバリアントでは見られなかったもので、ビットコインの支払いを攻撃者にリダイレクトすることが可能です。

この機能は、ビットコインアドレスの長さ（26～64文字）やプレフィックスを確認して有効なアドレスかどうかを検証します。有効なアドレスを検出すると、Chaos-C++はそれをハードコードされた攻撃者管理のBech32ビットコインウォレットに置き換えます。

置き換えプロセスはWindowsのクリップボードAPIを通じて実装されており、Chaos-C++は攻撃者のウォレット文字列をターゲットシステムのメモリにコピーし、クリップボードをクリアしてからSetClipboardData()で攻撃者のアドレスを注入します。

全体として、この機能は「どのようなビットコイン支払いも、送信先が誰であれ静かに攻撃者にリダイレクトされることを保証します」とLeeは記しています。さらに、被害者がウォレットの救済を試みた場合でも「取引が誤って攻撃者に送信される可能性があります」と付け加えています。

カオスの識別と防御

カオスランサムウェアの存在とその進化は、ランサムウェア攻撃者が新たな高度マルウェアやオペレーションと協力し続けていることを示しており、法執行機関が脅威の主要プレイヤーの追跡・妨害を続けている中でもその傾向は変わりません。

さらに、暗号化とファイル削除戦略から見られる傾向を踏まえると、将来的にカオスが「従来のランサムウェアよりもワイパーのように振る舞う」可能性があり、被害者にとってさらに壊滅的な結果をもたらすかもしれないとLeeは指摘しています。

FortiGuard LabsおよびFortinetのソリューションは、以下のAVシグネチャで既にカオスランサムウェアのサンプルを検出しています：W64/Filecoder.XM!tr.ransom、W64/Filecoder.MLKGEBH!tr.ransom、W64/Imps.1!tr.ransom。他のAVソリューションもこれらのシグネチャをサービスに組み込むことで、新バリアントからの保護を確実にすべきです。

レポートには、防御側が新しいカオスバリアントの存在をシステム上で検出するために使用できる侵害の痕跡（IoC）のリストも含まれています。