トレンドマイクロは12月10月、9月に発見されたCryptoランサムウェア「Chimera」の特徴をセキュリティブログで解説した。

Chimeraの最大の特徴は、オンライン上に外部公開するという脅し文句で「脅迫」することだと指摘している。Chimeraは、他の Cyrptoランサムウェア同様、ファイルを暗号化するだけでなく、身代金が支払われなければ収集した情報をオンライン上で公開するといった脅迫を行う。暗号化した情報を外部公開すると脅迫する Cryptoランサムウェアが確認された初の事例となる。

脅迫状には、ドイツ語版と英語版の2つのバージョンがある

暗号化されたデータは、請求された身代金を支払うか、ユーザーが事前にバックアップしていれば取り戻せる。しかし、暗号化されたデータの情報漏えいを防ぐにあたっての効果的な対策は見つかっていない。

トレンドマイクロによる解析によると、Chimeraは暗号化したデータを外部に漏らすが、感染PCのファイルを(C&C)サーバへ送信する機能を備えていない。不正プログラムが自身のサーバへ送信できる情報は、生成された感染PCの ID、ビットコインアドレス、秘密鍵に限定されている。

感染したPCへ向けた脅迫状には、「アフィリエイトプログラムを活用しよう!」「当ファイルのソースコードに詳細情報あり」と記載されている。後者は、技術的スキルを持つユーザーを振るい分ける手段だという。

アフィリエイトプログラムへの招待

復号したコードには、アフィリエイトに加入したい場合は攻撃者に連絡をする方法とビットメッセージアドレスが書かれている。ビットメッセージとは、暗号化されたメッセージの送信に利用され、受信先と送信元が匿名となる、合法的なピアツーピア)P2P)の通信プロトコルのこと。

ソースコード中のメッセージ

脅迫状は、感染PCのユーザへ復号化ソフトウェアをダウンロードするよう指示。実際にソフトウェアはダウンロードすると、暗号化されたファイルと脅迫状を検索し、生成された感染PCのユーザー用ビットコインアドレスを決める。その後、以下のようなメッセージを表示する。

支払い方法について、次の指示

復号化ソフトウェアにはビットメッセージが埋め込んであるソフトウェアも含まれており、支払いを確認した後、攻撃者は感染PCのIDと復号キーを含むビットメッセージを送信する。そして、復号化ソフトウェアは感染したPCのユーザー確認を行い、復号を進める。

Chimeraは、「Ransomware as a service(RaaS)」と言われるサービスとしてランサムウェアを販売している。RaaSは、作成者が突き止められる可能性を軽減でき、発覚のリスクを増やさずに販売収入を増やせる。Chimeraの場合コミッションは50%としていた。

「CryptoWall」や「TeslaCrypt」といったその他のランサムウェアと比較すると、「Chimera」の提供するRaaSはあまり巧妙ではないと指摘している。専門家であれば、ヒントを頼りに販売者を特定することは難しくない。また、オペレーションがしばしば中断されていたり、コードが難読化されていなかったり、C&Cサーバの環境が整っていなかったり、「Tor2Web」を活用できていなかったりと、ずさんな作りが見られるという。

トレンドマイクロは「Chimeraの不正活動は、ランサムウェア周辺では新しいもののセキュリティ脅威予測の予測範囲内」としている。脅威予測では「サイバー犯罪者はエンドユーザーであれ企業組織であれ、標的となるユーザーの心理を突いた個人的な攻撃手法を考え出すであろう」と言及している。