出典:Vittaya Pinpan via Shutterstock
新しいランサムウェアの最新亜種は、意図された以上に破壊的である可能性があります。典型的なランサムウェアのようにファイルを暗号化する代わりに、ファイルを削除するワイパーとして機能しており、組織がキャプチャしたファイルの多くを削除します。このシナリオにより、防御者にとっては回復が不可能になり、攻撃者にとってはファイルを身代金で保有する可能性が複雑になります。
昨年12月に初めて出現したランサムウェア・アズ・ア・サービス(RaaS)オペレーションのVect 2.0亜種には、Windows、Linux、VMware ESXiの全バージョンにおける欠陥があり、予期せずに暗号化する代わりに、いわゆる「大容量ファイル」を永続的に破壊しています。これはCheck Point Softwareが今週発表したレポートによるものです。
128KB以上のすべてのファイルについて、「これは事実上、VM ディスク、データベース、ドキュメント、バックアップなど、有意義なデータを含むあらゆるファイルに対して、Vectをワイパーにします」とレポートに記載されています。Check Pointは、「131,072バイト(128 KB)を超えるすべてのファイルについて、4つの復号化ノンスのうち3つを破棄する」という欠陥が、3つのプラットフォーム亜種すべてで同じであることを確認しています。
Vectの欠陥の詳細
この欠陥は、Vectの ChaCha20-IETF暗号化スキームに従い、マルウェアが新しく生成されたランダムな12バイトノンスを4つ生成して「大容量ファイル」の4つの独立したチャンクをそれぞれ暗号化しますが、最終的なノンスのみをディスク上の特定の暗号化ファイルに追加するためです。Check Pointによれば。
「最初の3つのノンスは、各チャンクの復号化に必要ですが、生成および使用されてから静かに破棄されます」とレポートに記載されています。「これらはディスク、レジストリに保存されることもなく、オペレーターに送信されることもありません。」
ChaCha20-IETFはデータの各チャンクのロックを解除するために32バイトのキーと正確に一致する12バイトのノンスの両方を必要とするため、大容量ファイルの最初の3分の4は、ランサムウェアオペレーター自身を含む誰にも回復不可能です。「運用上重要なファイルの大多数はこの『大容量』閾値を超えるため、Vect 2.0は実際にはランサムウェアの仮面をかぶったデータワイパーとして機能します」とCheck Pointは述べています。
この亜種はまた、解析されるがしばしば適用されない暗号化モード、偶然自分自身をキャンセルしてしまう文字列難読化ルーチン、公開レポーティングで不正確に説明されている暗号など、他の不完全な実装の問題を示しています。
攻撃者と防御者の両方が影響を受ける
このワイパーの欠陥は、復号化キーが完全に無用になるシナリオを作成します。この理由から、RaaSグループのオペレーターはランサムウェアの代わりにワイパーを作成するつもりではなかったと考えられます。「ひとたびそれが知られると、人々は身代金を支払う可能性が低くなります」とCheck PointのグループマネージャーEli Smadjaはダークリーディングに語っています。
防御者にとって、これはより悪い状況を作成します。彼らはもはや身代金を支払うことに同意したとしても、すべてのファイルを回復することができません。Check Pointは述べています。「身代金を支払う被害者は、オペレーターの詐欺によってではなく、暗号化の時点で復号化に必要な情報が回復不可能に破壊されたため、彼らの最大のファイルに対して機能する復号化ツールを受け取ることができません。」
彼らは身代金を支払った後、その復号化キーが機能しないことに気付いてはじめてファイルを回復できないことに気付く可能性があります。これがCheck Pointがvectの欠陥を報告することが非常に重要だと考えた理由です。Smadjaは述べています。
本質的に、「身代金を支払う被害者は何も返してもらえません」とSecure.comの別の投稿に記載されています。これはCheck Pointの発見に対する研究者の反応です。これは、Vectが重大な運用上または個人的なデータを持つ組織や、多くの場合ダウンタイム許容度が限定されている組織(製造業、教育、医療、技術セクターを含む)をターゲットにしているため、特に厄介です。
「これらはまさに、単なる暗号化ではなくファイル破壊が最も回復不可能な損害を引き起こす環境です」とSecure.comチームは書いています。
Vectの野心的なスタートが失敗した
Vectrランサムウェアは昨年後半にロシア語のサイバー犯罪フォーラムに初めて出現し、2026年1月に最初の2人の被害者を迅速に主張しました。Check Pointによれば。先月、このグループは再び注目を集めたとき、TeamPCPとのパートナーシップを発表しました。TeamPCPは、Trivy、Checkmarx’ KICS、LiteLLM、Telnyx などの人気のあるソフトウェアパッケージにマルウェアを注入したいくつかの最近のサプライチェーン攻撃の背後にあるアクターであり、大量の下流の消費者に影響を与えています。
「これらの攻撃がニュースで報道されてからまもなく、VECTはBreachForumsに投稿し、TeamPCPとのパートナーシップを発表しました。その目標は、これらのサプライチェーン攻撃の影響を受けた企業を悪用することです」とCheck Pointは述べています。当時、研究者はダークリーディングに語ったことは、このアライアンスは、TeamPCPのRATを通じてランサムウェアに感染させることができる潜在的に数百万人の被害者へのアクセスを彼らに与えるという点で、好都合だったということです。
しかし、Vect 2.0の欠陥は、これらの潜在的な被害者のいずれからでも身代金を集めるための計画に傷を付ける可能性があります。その最新のランサムウェア亜種で見つかった他の問題と組み合わされて、Check Pointの発見は「運用上の野心を持つグループの絵を描きます。これは、BreachForumsの公開アフィリエイトモデルとTeamPCPのサプライチェーンキャンペーンに反映されていますが、暗号化およびソフトウェアエンジニアリングの成熟度は、実行しようとしている操作のスケールと一致していません」とレポートに記載されています。
組織のための追加の注意
Vect 2.0では身代金を支払うことは機能しないため、組織は予防と回復準備に焦点を当て、RaaSグループによる攻撃の受信側にいる場合に発生する可能性のある損害を軽減する必要があります。
「予防がより良い道です。これは従業員のソーシャルエンジニアリング認識トレーニングから脆弱性管理、EDRなどの包括的なセキュリティ監視、そして実績のあるインシデント対応計画に至ります」とSmadjaは述べています。さらに、防御者は、組織のプライマリネットワークから完全に分離されたオフラインの不変バックアップを保持し、復旧手順を定期的にテストする必要があります。Secure.comは述べています。同社はまた、ESXiを使用している人が、管理インターフェースをネットワークの残りの部分から分離し、仮想化インフラストラクチャにアクセスできるアカウントを制限し、すべての管理ログインに厳密な多要素認証を適用することを推奨しました。
Windowsシステムの場合、セキュリティチームはWindows Defenderの無効化のPowerShellベース、イベントログのクリア活動、および疑わしいセーフモード起動設定の変更を監視する必要があります。これらはすべてVectランサムウェアの主要な行動指標であり、問題を早期に警告します。
最後に、すべての組織はサードパーティソフトウェア依存関係の整合性を検証する必要があります。Secure.comによると、「Vectとの提携を考えると、サプライチェーン侵害は確認されたエントリベクトルです。」
最新のダークリーディングコンフィデンシャルポッドキャストをお見逃しなく、NSA スノーデン事件の首脳が13年後に後悔と思考を共有。エドワード・スノーデン事件中にNSAを担当していた民間人トップ、クリス・イングリスとの率直な会話です。イングリスは、NSAが何をもっとよくすべきだったかを考え、CISOが独自のインサイダーの脅威から保護することについて知ってほしいことを反映し、スノーデンが恩赦を受けた場合の彼の反応は何かを述べています。今すぐ聞く!
翻訳元: https://www.darkreading.com/threat-intelligence/vect-ransomware-wiper-design-error
