データの暗号化だけでなく「暴露」もちらつかせて脅迫する

2019年12月に、「Ragnar Locker（ラグナ・ロッカー）」と呼ばれる新たなランサムウェアが発見されました。ランサムウェアによる被害は以前から世界中で相次いでいましたが、Ragnar Locker（ラグナ・ロッカー）はこれまで見られなかった新たなタイプの攻撃手法を用いた進化型のランサムウェアとして、現在注目を集めています。実際にRagnar Locker（ラグナ・ロッカー）による攻撃を受け、巨額の身代金を攻撃者に支払ったと噂されるケースも報告されており、現在その対策が急がれています。

Ragnar Locker（ラグナ・ロッカー）の第一の特徴は、攻撃目標である企業や組織から窃取した機密情報を「インターネット上に公開する」と脅して、金銭の支払いを要求するという点にあります。一般的にランサムウェアは、感染した端末上のデータを暗号化し、「復号して元に戻してほしければ身代金を支払え」と要求します。この点においてはRagnar Locker（ラグナ・ロッカー）も同様で、まずは感染端末上のデータを暗号化して身代金の要求を行います。

しかし、もし被害者が身代金の支払いを拒否した場合、次なる手段として、あらかじめ窃取してあった機密情報の暴露をちらつかせて金銭の支払いを要求します。こうした「二重の脅迫」を行うことによって、データバックアップなどランサムウェア対策に万全を期していた企業・組織が身代金の支払いを拒否した場合であっても、「第二の脅迫」によって金銭を手に入れられる手段を確保しているわけです。

正規のツールを隠れ蓑にして自身の攻撃活動を隠匿

Ragnar Locker（ラグナ・ロッカー）の第二の特徴は、自身がセキュリティツールによって検知されることを、これまで以上に巧みにかわしている点にあります。

昨今では多くの企業・組織がサイバー攻撃対策の強化に取り組んでいるため、正面を切って攻撃ターゲットのネットワークに侵入するのは難しくなってきています。そこでRagnar Locker（ラグナ・ロッカー）は、ターゲット企業・組織のシステムそのものではなく、システムの運用を請け負っているマネージド・サービスプロバイダー業者が利用する管理ソフトウェアの弱点を突き、侵入の足掛かりを確保します。

続いて、Windowsの正規の管理ツールであるWindowsグループポリシーオブジェクト (GPO) を用いて、マルウェア本体が含まれるインストールパッケージファイルをダウンロードします。そして、同じく正規のツールであるPowerShellを用いて、ネットワーク内での偵察や攻撃を行います。これらのプロセスは正規のツールを使って動作するため、セキュリティツールによる検知を困難にしています。

さらにRagnar Locker（ラグナ・ロッカー）は、仮想化ソフトウェア「Oracle VirtualBox」を用いて、仮想マシン上で動作するよう設定されます。仮想マシン内で具体的にどんな処理が行われているのか、その外部から詳細を知ることは容易ではありません。仮想マシンの外で動作しているセキュリティツールの側から見ると、Ragnar Locker（ラグナ・ロッカー）による攻撃行動も「Oracle VirtualBoxによる正規のプロセス」としてしか認識できないため、やはり攻撃の検知を極めて難しくしています。

このように、既存のセキュリティツールによる検知を巧みにかわした上で、さらに「二重の脅迫」によって金銭支払いのプレッシャーを相手に与えるというのが、進化型ランサムウェアであるRagnar Locker（ラグナ・ロッカー）の大きな特徴になっています。

身代金要求画面

EDR製品によってRagnar Locker（ラグナ・ロッカー）の挙動を確実に検知

このように極めて巧妙な手口を用いることで既存のセキュリティツールによる検知を巧みに回避するRagnar Locker（ラグナ・ロッカー）ですが、弊社が提供するEDR製品「Cybereason EDR」ではかなり早い段階からその存在を検知していました。

例えば、Ragnar Locker（ラグナ・ロッカー）が自身を動作させるために用いる仮想マシンの環境を構築しようとすると、Cybereason EDRはその挙動を「悪意のある振る舞い」として検知し、管理者に対してアラートを通知します。また感染端末上のファイルを確実に暗号化するために、Ragnar Locker（ラグナ・ロッカー）は端末上で動作しているプロセスをリストアップし、それらを停止する処理を行います。Cybereason EDRはこの挙動も検知して、アラートを発行します。

さらにRagnar Locker（ラグナ・ロッカー）は、Windowsによるファイルの自動復旧を妨げるために、Windowsが自動的に生成するバックアップファイル（シャドウコピー）も削除します。この挙動も、Cybereason EDRが導入された環境であれば即座に検知され、被害が深刻化する前にRagnar Locker（ラグナ・ロッカー）の脅威を除去できます。

今後、Ragnar Locker（ラグナ・ロッカー）が備えるこうした高度な検知回避技術や二重脅迫などの手口は、他の攻撃にも応用される可能性があります。そうした攻撃による被害を未然に防ぐためには、Cybereason EDRのような先進的なセキュリティソリューションを早めに導入しておくことをぜひお勧めします。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/