ランサムウェア「Ryuk」は2018年頃から感染が確認されており、これは2017年にインターネットのハッキングフォーラムで販売されたHermesランサムウェアのソースコードをベースに作成されたものだと考えられています。Ryukは、その誕生以来、大規模な組織を標的として大きな成果を上げており、連邦政府の調査によれば累計で6,126万ドル （2020年2月現在）もの身代金を稼いでいます。

Ryukの忌まわしい成功の背景にある理由の1つが、脅威アクターの「戦術、技術、手順（TTP）」を進化させる能力です。昨年初頭から、インフォスティーラー型トロイの木馬であるTrickBotが、多くのサイバー攻撃（その他のマルウェア、フレームワーク、ツールを含む）において常に「共犯者」の役割を演じています。先に述べた攻撃ではEMPIREフレームワークが利用されていましたが、サイバーリーズンが観測した同じ年の後半の攻撃では、EmotetがTrickBotのダウンロードを通じてRyukを配備していました。

2020年3月、脅威アクターはRyukの配備を一時的に停止し、Contiと呼ばれる新たなランサムウェアを導入しました。サイバー犯罪の研究者たちは、これらのコードベースが類似していることを発見し、ContiがRyukの後継者である可能性を示唆しました。しかし、2020年9月になるとRyukが速やかに復活し、Contiの感染もそれと並行して発生する事態となりました。このため、ContiはRyukの後継者ではなく、新しい別の系統のマルウェアであることが指摘されています。

また、Ryukの休止が始まって間もなく、BazarLoaderと呼ばれる新しいマルウェアがTrickBotにより配信されていることが観測されました。現在、Ryuk、Conti、BazarLoaderが同じ脅威アクターにより利用されていることを示す証拠が見つかっています。

Ryukランサムウェアは、ほとんどの場合、企業に対するより大規模な標的型攻撃の最終的なペイロードとして認識されており、今年9月に復活して以来、主にTrickBotやBazarLoaderの感染を経由して広がっています。

CybereasonによるRyukランサムウェアの検知とブロック

Cybereasonは、プロセスインジェクション、パーシステンスの作成、シャドウコピーの削除を含むRyukのさまざまな実行フェーズを詳細に検知しています（詳しくは「実行の概要」のセクションを参照のこと）。顧客環境におけるセンサーに適切な設定を適用することで、Cybereasonは、Ryukランサムウェアがユーザーファイルを暗号化する前にRyukの活動を停止させることができます。

アンチランサムウェアモードを有効にすると、Ryukがハードドライブを暗号化する前にRyukの実行を停止できます。マルウェアがファイルの暗号化を試みたもののユーザーのファイルが救出された場合、当該フォルダに身代金を要求する手紙が見つかることがあります。アンチマルウェアモードが有効になっている場合、実行前にサンプルが削除されます。

実行の概要

Cybereasonのセンサーが検知したRyukランサムウェアの実行

Ryukのバイナリが実行されると、そのサンプルは自身のコピーを作成し（下記の画面ショットにあるランダムに命名されたRyukの子プロセスであるltbyhrc.exeはRyukのコピーです）、引数「8 LAN」を使用してそれを実行します。この機能は、デバイスのARPテーブルを使用してローカルLAN上のマシンを見つけ、それらのマシンにWake-on-LANパケットを送信した後、当該マシン上のC$共有ドライブのマウントに成功したならば、当該リモートドライブの暗号化を進めます。

オリジナルのバイナリとドロップされたコピー（ltbyhrc.exe）は、どちらも同じタスクを実行します。これらは、”audioendpointbuilder”、”samss”、”sqlwriter”の各サービスを停止した後、シャドウコピーの削除とパーシステンスの作成を試みます。また、このマルウェアは、暗号化を行う前に、cacls.exe（アクセス制御リストを変更するプログラム）を利用することで、C:ドライブおよびD:ドライブ上にあるすべてのファイルとフォルダに対する完全な制御権を確保します。

また、元のバイナリは、他のプロセスへのインジェクションを行うことも確認されています。これらのプロセスは、Cybereasonにより検出され、フローティング実行コード疑惑を使ってタグ付けされます。

実行に成功すると、同マルウェアはユーザーファイルを暗号化し、それらのファイルに.RYK拡張子を追加します。宿主であるシステムの停止を避けるために、.DLLや.EXEファイルのような特定のファイルは暗号化されません。Ryukにより探索されたフォルダには「RyukReadMe.html」ファイルが含まれていますが、このサンプルでは同ファイルは骨組みだけのものであり、マルウェアの名前とメールアドレスが記載されているだけで、それ以外のいかなる命令も含んでいません。おそらく、脅威アクターは、自分たちの評判がすでに世間に広まっていると考えているのでしょう。

.ryk という名前の拡張子を持つ暗号化されたファイル。

Ryukの身代金を要求するメッセージ

Ryukに関するより詳細な分析については、弊社が作成したレポート『3つの脅威：Emotet(エモテット)によるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散』をご覧ください。

MITRE ATT&CKによる分類

インパクト
・サービス停止
・システム回復を阻害
・インパクトのためにデータを暗号化
・システム回復を阻害

実行
・コマンドおよびスクリプティングインタープリター： Windowsコマンドシェル
・ネイティブAPI

権限昇格
・プロセスインジェクション

パーシステンス
・ブートまたはログオンの自動スタート実行：レジストリ実行キー / Startupフォルダ

検出
・システムネットワーク構成の検出
・ファイルとディレクトリの検出
・プロセス検出

防御回避
・防御力の低下：無効化または変更ツール

IoC（Indicators of Compromise：痕跡情報）

Ryuk実行可能ファイル

SHA-256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SHA-1
E62135254b3a51f0180e70a11e4c3ad4a59f81c4
71015f9c281038d63bf7cd45894550c1a26c6b53
A6caaa8f8ab2680ce2179a7571a466beb1b60447
3780f5828fc05bf74649393169f70fafb0ffed25
7ad297507ca71d65c46013e02fc635bc75b0e3a2
F155befc8c3c054f3858a6d3e86a7b04c0a4f5dc
0a5b7330c1e06837b7d47936297f80a87c9057d9
2584992238615ecbfdb83b2d86f6227d07ae4f96
B1f6e6eed8dcdf4d354660c2dbec141ada621eb8
845c2c82415669f8c8b3f565519e29d26d3b1f8a
7ddbc35d1612162538496eb5ece5fc1b6bce6eb8
834d876b47ae8e595ae417a370cd47cc8e061131

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/