一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、Undergroundランサムウェアを紹介します。

Underground ランサムウェアの特徴

Undergroundランサムウェアは、2023年7月初旬に一般公開されているファイルスキャンサイトで初めて観測されました。同年7月13日には、このランサムウェアを運用するグループのデータ流出サイトに、最初の被害が公開されています。UndergroundランサムウェアのターゲットはWindowsデバイスで、他の一般的なランサムウェアと同様、ファイルを暗号化した上でそれらを復号するための身代金を要求するランサムノート(身代金メモ)を残します。

オンライン上の情報によれば、Undergroundランサムウェアを運用しているのは、ロシアを拠点とする「Storm-0978」というグループと推測されています。このグループは「RomCom」と呼ばれるリモートアクセス型のトロイの木馬を開発・配布しており、自身もこのマルウェアを使用していることから、RomComグループとも呼ばれています。

また、このグループは、マイクロソフト製品の脆弱性(CVE-2023-36884)を悪用することでも知られています。これは、Microsoft OfficeとWindows HTMLの脆弱性であり、2023年7月11日にMicrosoftが公表し、Fortinetもほぼ同時期に「アウトブレイクアラート」で、その危険性を警告しています。この脆弱性に対するパッチは、2023年8月の月例セキュリティ更新プログラムで提供されています。

Storm-0978によるサイバー攻撃は主に、改変した正規ソフトウェアを通じて組織に侵入し、前述のRomComをシステムにインストールして、バックドア(攻撃者が侵入やデータ流出に使用する裏口)を作成するところから始まります。

CVE-2023-36884が発見されてからは、この脆弱性を悪用してバックドアを作る、という攻撃も行われていることが判明しています。Microsoftが公開したブログには、欧米の防衛関連組織や政府組織に対して、Storm-0978がこの脆弱性を悪用した攻撃を仕掛けた、と記述されています。なおこのグループはサイバー犯罪に加え、スパイ活動も行っていると指摘されています。

Undergroundランサムウェアの感染後の挙動

では、Undergroundランサムウェアは、具体的にどのようなふるまいをするのでしょうか。まず、感染して実行が始まると、次のようなことが行われます。

(1)シャドーコピーを削除

シャドーコピーとは、データ復元用のスナップショット(特定時点のバックアップデータ)のことです。これを削除することで、ランサムウェアによって暗号化されたファイルを、被害者自身で復元できない状態にします。シャドーコピーの削除は、最近のランサムウェアでは一般的になっています。

(2)リモートデスクトップサービス(RDS)とターミナルサービスのセッション維持時間を14日間に設定

RDSとターミナルサービスは、いずれも外部からシステムを操作するためのWindows機能です。RDSのセッション維持時間のデフォルトは24時間であり、この時間を過ぎると強制的に切断されます。この時間を14日間に設定することで、攻撃者は長期にわたってターゲットとなるシステムにアクセスできるようになります。

(3)Microsoft SQL Serverのサービスを停止

データベースサーバが稼働している状態では、データベースに関連するファイルがロックされているため、暗号化できません。またデータベースサーバが稼働中であれば、データベースのバックアップを取得し迅速に復元できる可能性もあります。そのためランサムウェアの多くは、暗号化前にSQL Serverなどのデータベースサービスを停止します。

(4)以下のような「!!readme!!!.txt」というランサムノートを残す

(5)ファイルを盗み出したうえで暗号化を実行

多くのランサムウェアは、暗号化したファイルにランサムウェア固有の拡張子を追加しますが、Undergroundランサムウェアは、暗号化したファイルの拡張子を変更しないことが特徴です。

(6)ランサムウェアのファイルを削除

(7)Windowsのイベントログのリストを取得・削除

(6)と(7)は、ランサムウェアの中身や具体的な挙動を秘匿するための行為だと考えられます。

Undergroundランサムウェアは、ターゲットから盗み出したデータや被害者情報を掲載・公開するため、以下のようなデータ流出サイトを開設しています。

2024年8月末時点で16件の被害が報告されており、そのロケーションの多くは米国と欧州ですが、韓国や台湾、シンガポールでも確認されています。

また2024年3月にはTelegramチャネル「Underground Team」を作成しており、ここでも情報を発信しています。

Telegramはサイバー犯罪者が好んで使用するSNSであり、児童ポルノや麻薬販売などの違法コンテンツが数多く掲載されていることでも知られています。こうした嫌疑から2024年8月には、CEOがパリの検察当局に拘束され、その後訴追されています。

Underground Teamによれば、Undergroundランサムウェアによって不正に取得した被害者のデータは、ランサムウェアグループが好んで使用するクラウドストレージサービス「MEGA」上でも閲覧できるようになっています。MEGAはニュージーランドに本社を置くMega Limitedが提供するサービスで、同社が提供する「MegaSync(大容量ファイルを圧縮してMEGAとやり取りするツール)」を使用して、窃取したファイルをアップロードするケースも多いと指摘されています。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページを参照ください。

Undergroundランサムウェア

「Ransomware Roundup:Underground」(Shunichi Imano, James Slaughter and Fred Gutierrez、2024年8月30日)

著者プロフィール


今野 俊一(フォーティネットジャパン 上級研究員)、James Slaughter、Fred Gutierrez