Rhysidaランサムウェア

Rhysida(リシーダ)ランサムウェアは、2023年5月から活動が始まったと見られる新たなランサムウェアです。FortiGuard Labsではすでに、5月15日と5月17日に作成されたとみられる2つの亜種を入手・分析しています。

二重脅迫を行うこのランサムウェアは、標的となったマシンのデータを暗号化して身代金要求のランサムノートを残すだけではなく、データの窃取・公開・オークションも行います。なお「リシーダ」とはムカデの一種を意味し、攻撃者のデータリークサイト(窃取した情報の暴露・オークションに使われているサイト)にも、ムカデの画像が使われています。

5月15日版の亜種のランサムノートには、被害者は攻撃者のTORサイトにアクセスするよう記載されています。5月17日版の亜種のそれは、被害者がTORに不慣れなことを想定し、代替手段として電子メールアドレスも記載されています。このうちの1つは、標的マシンのデスクトップの壁紙を書き換え、以下のようにランサムノートと同じ内容を表示します。

このランサムウェアの注目点は、これをRaaS(Ransomware-as-a-Service)として提供しているのが新興グループと考えられることです。当初は幅広い業界をターゲットにしていましたが、次第にヘルスケア業界を中心に狙うようになり、2023年8月4日には米国保健福祉省(HHS)の保健医療サイバーセキュリティ調整センター(HC3)が、Rhysidaランサムウェアに関するアラートを発表しています。

ヘルスケア業界はその性質上、多くの機密情報を保有する一方で、製薬業など一部業種を除き、他の業界ほどセキュリティ意識が高くない組織・団体が多い傾向にあります。攻撃者にとっては恰好の標的とも言え、実際にこの業界を狙ったランサムウェア攻撃は、ここ数年増加傾向にあります。

すでにこの攻撃者のデータリークサイトには、2023年8月31日の時点で41の組織がリストアップされ、うち半数は欧州の組織ですが、北米やアジア、ラテンアメリカ、中東、アフリカの組織も名を連ねています。また3割以上を教育部門が占め、そのほとんどは欧州と北米の組織です。

もう1つ注目したい特徴が、侵入と横展開の手口です。このランサムウェアグループはフィッシング攻撃によってターゲットの組織に侵入し、その後の横展開と実際のランサムウェアの配信を「Cobalt Strike」というツールで実行していると報告されています。

Cobalt Strikeはサイバー脅威をシミュレートするためのツールで、脆弱性やセキュリティの「穴」がどこにあるかチェックする「ペネトレーション(侵入)テスト」に利用されます。つまりRhysidaランサムウェアは、防御側の武器であるツールを、攻撃者側が転用しているのです。

今後もこのグループがどのような攻撃を仕掛けてくるか、要注意です。

Retch ランサムウェア

Retch ランサムウェアはRhysidaランサムウェアよりもさらに新しく、2023年8月に発見されました。明確な感染経路は不明ですが、他の一般的ランサムウェアと大きく異なる点はないと考えられています。

感染時に残されるランサムノートで、300ユーロ相当のビットコインを支払うよう指示されます。身代金額が低いことから、企業や組織ではなく、個人を狙ったランサムウェアであると推測されます。このメッセージは英語とフランス語で表記されていますが、調査の結果、特にフランス語圏を狙ったランサムウェアではなく、米国、イラン、ドイツ、ロシア、コロンビア、韓国、イタリアからもサンプルが提出されています。

調査では、このランサムウェアが「HiddenTear」という、著名なオープンソースのランサムウェアをベースに作成されていることがわかりました。これはトルコのセキュリティリサーチャー集団である「Otku Sen」が、教育目的でGitHub上に公開したプロジェクトです(GitHub上のオーナーは「goliate」。なおGitHubはソフトウェア開発・公開のプラットフォーム。2018年6月にMicrosoft社が75億ドルで買収)。

実際にHiddenTearのGitHubページには、「教育目的のみで使用でき、ランサムウェアとして使用しないこと」という法的警告が記載されていますが、Retch ランサムウェア以外にも、これをベースにしたランサムウェアが数多く存在しています。

今回紹介したのは、元来は防御側のツールや教育目的だったオープンソースが、攻撃者に悪用されているケースでした。セキュリティの世界では、攻撃者の手法が進歩するとそれに応じて防御側もキャッチアップしなければなりませんが、その結果、攻撃者側がその成果をさらに悪用するという、「イタチごっこ」になっていることも少なくないのです。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」から、以下の記事を選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下を参照ください。

Akira ランサムウェア

「Ransomware Roundup:Akira」(Shunichi Imano and James Slaughter、2023年10月12日)

Rhysidaランサムウェア

「Ransomware Roundup:Rhysida」(Shunichi Imano and James Slaughter、2023年8月31日)

Retch ランサムウェア

「Ransomware Roundup:RetchおよびS.H.O」(Shunichi Imano and James Slaughter 、2023年9月21日)

著者プロフィール


今野 俊一(フォーティネットジャパン 上級研究員)、James Slaughter(Fortinet Senior Threat Intelligence Engineer)、寺下 健一(フォーティネットジャパン チーフセキュリティストラテジスト)