Trend Microは1月23日(米国時間)、「Kasseika Ransomware Deploys BYOVD Attacks Abuses PsExec and Exploits Martini Driver」において、脆弱性の存在するドライバを悪用した攻撃手法「BYOVD(Bring Your Own Vulnerable Driver)」を使用するランサムウェアグループ「Kasseika」に関する調査結果を公開した。Kasseikaは最近、存在が確認されたグループで、「Akira」「BlackByte」「AvosLocker」と同様にセキュリティソリューションを無効化する戦術を使用するとみられる。

  • Kasseika Ransomware Deploys BYOVD Attacks Abuses PsExec and Exploits Martini Driver

    Kasseika Ransomware Deploys BYOVD Attacks Abuses PsExec and Exploits Martini Driver

Kasseikaの侵害経路

Trend Microの分析によると、Kasseikaの侵害経路はランサムウェア「BlackMatter」に似た兆候があるという。Trend Microの調査対象となった事案において、Kasseikaが使用した攻撃にBlackMatterのソースコードの大部分が使用されていたことが判明している。BlackMatterのソースコードは容易に入手できないため、Kasseikaの攻撃者はこのソースコードを入手または購入したものとみられている。

Trend Microの調査対象となった事案において、Kasseikaはメールによる標的型フィッシング攻撃を実行している。標的の従業員から資格情報を窃取してシステムに侵入、リモートデスクトップソフトウェアとMimikatzを使用して特権アクセスを取得する。

  • Kasseikaの侵害経路 - 提供:Trend Micro

    Kasseikaの侵害経路  引用:Trend Micro

特権アクセスを獲得した攻撃者はWindowsのユーティリティツール集「PsTools」に含まれる「PsExec」を使用し、コマンド&コントロール(C2: Command and Control)サーバから悪意のあるバッチスクリプトをダウンロード、実行する。次にバッチスクリプトはマルウェア「PINCAV」のインスタンスを1つだけ作成する。PINCAVは署名付きドライバ「Martini.sys」がC&Cサーバから正常にダウンロードされているか確認し、存在する場合はサービスとして登録する。

Martini.sysの本来のファイル名は「viragt64.sys」で、TG Softによって開発された「VirIT Agent System」の一部とされる。このドライバには脆弱性が存在し、悪用すると任意のプロセスをカーネルモードで強制終了させることができる。

PINCAVはシステム内のすべてのプロセス情報を取得し、既知のセキュリティソリューションを検出するとMartini.sysの脆弱性を使用してこれを強制終了させる。このようにしてセキュリティソリューションを一掃した後、バッチスクリプトからランサムウェアを実行する。

ランサムウェア「Kasseika」

Kasseikaは強力なコード難読化とデバッグ保護技術が組み込まれており、分析は非常に困難とされる。Kasseikaが実行されるとシステム内のファイルが暗号化され、身代金を請求するファイルが各ディレクトリに保存される。また、暗号化を完了するとシステムの壁紙が身代金の請求画像に差し替えられる。

  • Kasseikaによって差し替えられた壁紙 - 提供:Trend Micro

    Kasseikaによって差し替えられた壁紙 引用:Trend Micro

対策

Trend MicroはKasseikaによる被害を最小限にするため、組織が採用できるベストプラクティスとして次のような対策を推奨している。

  • 従業員のアクセス権に最小権限の原則を適用する
  • セキュリティ製品を定期的に更新する。また、定期的にスキャンを実施する
  • 重要なデータを定期的にイミュータブルバックアップする
  • 電子メールとWebサイトのセキュリティを適切に維持する。アプリケーションは信頼できるソースから取得したものだけを使用する
  • 不審なメールやファイルはセキュリティ担当者に報告する。悪意のあるメールをブロックできるツールの導入を従業員に奨励する
  • ソーシャルエンジニアリングの危険性と最新の攻撃手法を定期的に社員教育する