RaaS「Philadelphia」 の仕組みと対策

2017.08.08

Black Hat USA 2017 で昨日、SophosLabs ブダペスト (ハンガリー) オフィスの脅威研究者、Dorka Palotay がまとめた調査報告書「Ransomware as a Service (Raas): Deconstructing Philadelphia(リンク先:英語) 」が公開されました。この報告書は、誰でも 400 ドルで購入できるランサムウェアキットの仕組みを掘り下げています。このキットを購入した攻撃者は、コンピュータを乗っ取ってデータを人質に取り、身代金を要求することができます。


昨日の主題は Philadelphia のマーケティング戦略と、プロモーションの場が「ダークウェブ」から「オープンウェブ」に移った点でしたが、本日はこの RaaS (Ransomware as a Service: サービスとしてのランサムウェア) キット自体の仕組みに焦点を当てます。


ランサムウェアの分析


ランサムウェア攻撃を成功させるには、攻撃者は以下の 4 つの課題を克服する必要があります。


  1. ターゲットコンピュータと通信するための C&C サーバーを設定する
  2. ランサムウェアのサンプルを作成する
  3. ターゲットにサンプルを送信する
  4. 攻撃を管理する (統計情報の収集、支払いの確認など)

Philadelphia ランサムウェアを購入した人は、実行ファイルを受け取ります。これが Philadelphia ヘッドクオーター (本部) と呼ばれるものです。本部は、上記の 1、2、および 4 のステップで攻撃者を支援します。また、開発者がステップ 3 で攻撃者を支援するサンプルもソフォスは複数確認しています。


Philadelphia ランサムウェアの購入者は、実行ファイルを受け取ります。これが Philadelphia ヘッドクオーター (本部) と呼ばれるものです。本部は、上記の 1、2、および 4 のステップで攻撃者を支援します。また、開発者がステップ 3 で攻撃者を支援するサンプルもソフォスは複数確認しています。


Philadelphia ランサムウェアの攻撃には 3 つのシステムが関与しています。2 つのシステムは攻撃者の管理下にあり、3 つ目のシステムは被害者のコンピュータです。


攻撃者は、本部を実行するためのコンピュータが必要です。また、被害者のコンピュータと通信するための Web サーバーも必要です。以下のセクションでは、攻撃の準備中および実行中にこの 3 つのシステムで何が起きのるかを説明します。次の図は、3 つのシステムと通信チャネルを示しています。マルウェアの拡散は含まれていません。



ユーザー追跡オプションと「Give Mercy」オプション


このランサムウェアキットはマーケティング戦略に長けているだけでなく、さまざまな高度な設定 (「Google マップでターゲットを追跡する」オプション、「Give Mercy (情けをかける)」オプションなど) が提供されているので、購入者は攻撃方法をカスタマイズできます。また、攻撃の構築方法、C&Cセンターのセットアップ方法、身代金の集金方法に関するヒントも説明されています。


「Give Mercy」機能は必ずしも被害者を助けるためのものではなく、攻撃者がピンチから抜け出すためのものだと Palotay は述べています。また、攻撃者の友人が偶然被害者になった場合や、攻撃者が攻撃テストをする場合にも使用されます。


Google マップで被害者を追跡するオプションからは、攻撃者が標的となるユーザーをどのように決定しているのかが垣間見えます。攻撃者は追跡データに基づいて、攻撃を繰り返したり、攻撃を軌道修正したり、Mercy オプションを適用したりします。


売上増のための追加機能


Mercy オプションや Google 追跡オプション、およびその他の機能は、このランサムウェア固有のものではありませんが、現時点では普及していません。今後さまざまなキットに搭載され、その結果、RaaS は実社会のソフトウェア市場のようになると予想されます。Palotay は次のように述べています。


Philadelphia が 400 ドルで、その他のランサムウェアキットが 39 ドルから 200 ドルというのは注目に値します。400 ドルという価格には継続的な更新、無制限のアクセス、無限のビルドなどが含まれており、購入者にとってはお得な価格と言えます。これはまるで、定期的な更新で顧客をサポートする本物のソフトウェアサービスです。


Philadelphia が 400 ドルで、その他のランサムウェアキットが 39 ドルから 200 ドルというのは注目に値します。400 ドルという価格には継続的な更新、無制限のアクセス、無限のビルドなどが含まれており、購入者にとってはお得な価格と言えます。これはまるで、定期的に更新を提供して顧客をサポートする本物のソフトウェアサービスです。


Philadelphia には、攻撃者と被害者の間の通信を管理し、攻撃に関する情報を保存する PHP スクリプト「ブリッジ」も存在します。


Philadelphia の購入者がカスタマイズできる追加機能には、身代金要求メッセージのテキスト、テキストの色、データを暗号化する前に身代金要求メッセージを表示するかどうか、そして、所定の時間が経過すると一部のファイルを削除する「ロシアンルーレット」などがあります。このロシアンルーレットはランサムウェアキットでは一般的なもので、数時間経過するごとにファイルをランダムに削除してユーザーをパニックに陥れるために使用されます。


カスタマイズオプションとブリッジ機能のおかげで利益は増加し、ランサムウェアの進化が加速する、と Palotay は述べています。


SophosLabs が調査した他の RaaS のケースでは、被害者から収集した身代金の一部がキットの購入者に支払われるものや、攻撃を追跡するダッシュボードへのサブスクリプションの販売などの価格戦略が見られました。


盗まれた Philadelphia のコード


報告書では、一部のサイバー犯罪者が Philadelphia のクラッキングに成功し、海賊版を低価格で販売していることも明らかにされています。クラッキングは今に始まったことではありませんが、興味深いのはその規模の大きさです。攻撃者が仕組みを理解する必要がなく、簡単に購入できる既製の脅威は、絶えず進化しています。このような価格のつり上げや詐欺師に対する詐欺行為は、今後も続くとソフォスは予測しています。Palotay は次のように述べています。


サイバー犯罪者がお互いのコードを盗んだり、他のランサムウェアの古いバージョンをベースに新しいランサムウェアを作成したりすることは珍しくありません。同様のことが、先日拡散した NotPetya 攻撃でも見られました。NotPetya 攻撃は、Petya の以前のバージョンである Golden Eye と、世界中のコンピュータに拡散・感染する Eternal Blue エクスプロイトが組み合わされていました。


対策


あらゆるタイプのランサムウェア対策として、以下のベストプラクティスが推奨されます。


  • ・定期的にファイルをバックアップしておき、オフサイトに最新のバックアップを保管する。
    ランサムウェア以外にも、火災、洪水、盗難、ラップトップの落下、偶発的な削除など、ファイルが突然利用できなくなる理由は多くあります。バックアップを暗号化しておくと、バックアップが保存されているデバイスが悪意のある人間の手に渡った場合でも心配する必要がなくなります。
  • ・電子メールを介して受信したドキュメントのマクロを有効にしないでください。
    Microsoft がセキュリティ対策として何年も前からマクロの自動実行をデフォルトで無効に設定しているのには理由があります。多くのマルウェアは感染するために、マクロを再び有効にするようユーザーを説得してきます。絶対に設定を有効に戻さないでください。
  • ・不審な添付ファイルには十分注意してください。
    サイバー犯罪者は「中身が分かるまではファイルを開くべきではないが、ファイルを開かなければ中身は分からない」というジレンマに陥るユーザーの心理につけ込んできます。疑わしい添付ファイルには、十分に注意することが重要です。
  • ・パッチは迅速かつ確実に適用してください。
    侵入にドキュメントのマクロを介さないマルウェアの多くは、Office、ブラウザ、Flash など、アプリケーションの脆弱性を悪用して侵入を試みます。パッチを素早く適用すれば、それだけサイバー犯罪者が悪用できるセキュリティホールの数は少なくなります。最新バージョンの PDF と Word を使用していれば、ユーザーはこの攻撃の影響を受けません。
  • ・Sophos Intercept X を使用して、ファイルの不正な暗号化をブロックし、ランサムウェアを阻止してください。
  • ・ご家族・友人と一緒に無料の Mac および Windows コンピュータ用の Sophos Home をお試しください

  • 8 月 23 日に予定されている RaaS に関するソフォスの Web キャスト(リンク先:英語)をご覧ください。


おすすめの記事はこちら