ランサムウェア
NAS機器を狙うランサムウェア「DeadBolt」、ベンダにも身代金要求する多重脅迫手口を確認
トレンドマイクロは、過去にNASデバイスを標的としたランサムウェアファミリの中でもDeadBoltランサムウェアファミリが被害者にとって問題が多い理由を調査しました。
トレンドマイクロは、過去にNASデバイスを標的としたランサムウェアファミリの中でもDeadBoltランサムウェアファミリが被害者にとって問題が多い理由を調査しました。
ランサムウェア「DeadBolt」は、ネットワークに接続された記憶装置(NASデバイス)を狙った数多くの攻撃活動を2022年に開始し、同年1月に台湾のNASデバイス大手ベンダ「QNAP Systems, Inc.」社の製品を標的としていたことが最初に確認されました。アタックサーフェス(攻撃対象領域)管理ソリューションプロバイダ「Censys」の報告によると、2022年1月26日の時点で潜在的に標的となりえたQNAP社製NASデバイス約13万台のうち4,988台のサービスがDeadBoltランサムウェアに感染した兆候を示したとのことです。その数週間後、NASデバイス・ビデオ監視ソリューションベンダ「ASUSTOR」も同様に、未知数のデバイスを標的としたDeadBolt攻撃を経験しました。同年3月DeadBoltランサムウェアの背後にいる攻撃者グループは、再びQNAP社製NASデバイスを標的としました。Censys社の報告によると、3月19日までにDeadBoltランサムウェアに感染したデバイスは1,146台に達したとのことです。最近では2022年5月19日にQNAP社が自社製品に対するセキュリティアップデートをリリースした際に、インターネットに接続されたQNAP社製NASデバイスが再びDeadBoltグループの標的となっていたことに言及し、QTS 4.3.6 / QTS 4.4.1を搭載したNASデバイスが狙われていたことを発表しました。
NASデバイスはデータの保存場所であることから様々なランサムウェアの攻撃対象となっていますが、特にDeadBoltランサムウェアに感染したデバイスの数が多いことは特筆すべき点です。本ブログでは2020年の記事で、モノのインターネット(IoT:Internet of Things)上で実行される攻撃活動が高度化している実情を、2022年4月27日の記事でNASデバイスを狙うサイバー犯罪者についてお伝えしました。またトレンドマイクロのリサーチペーパー「バックアップに対する脅威:進化する脅威からNASデバイスを保護する」では、ランサムウェアグループがNASデバイスを攻撃するために用いたランサムウェアファミリについて詳説しました。その中にはQlocker、eCh0raix、さらにはREvil(別名:Sodinokibi)のような悪名高いランサムウェアファミリも含まれています。
DeadBoltランサムウェアは、攻撃の規模だけでなく、ユーザに1つ / ベンダに2つの支払いオプションを提示するなど、攻撃者が実装したいくつかの高度な戦術や手法に特徴があります。ただしトレンドマイクロの分析結果から、ベンダに提示される支払いオプションが機能するという証拠は見つかりませんでした。これは、ファイルの暗号化処理に原因があると考えられます。本質的にこれは、被害を受けたユーザの代わりにベンダが提示された身代金を支払ったとしても、すべての暗号化されたファイルを復号するためのマスターキーを入手できない可能性があることを意味します。
DeadBoltグループが採用したこの特有の戦術を理解するために次のような例を考えてみましょう。ある犯罪集団がアパート全室の鍵をすべて変更したとします。次にこの集団は「一定の金額を支払えば、すべてのドアロックを解除できるマスターキーを渡す」とアパートの所有者に通知します。ところが実際には犯罪集団が変更したすべての鍵はマスターキーに対応していないため、アパートの所有者はマスターキー1つで全室の鍵を開錠できない状況に陥ります。
NASデバイスには通常、個人ユーザ / 法人組織を問わず、重要ファイルが保存されています。加えてDeadBoltランサムウェアファミリが短期間に感染したNASデバイスの数はかつてないほど多かったことから、トレンドマイクロはDeadBoltランサムウェアの調査に乗り出しました。本ブログ記事では、過去にNASデバイスを標的としたランサムウェアファミリの中でもDeadBoltランサムウェアファミリが被害者にとって問題が多い理由の調査結果をお伝えします。さらにトレンドマイクロは関連データを用いて、身代金を支払ったユーザ / ベンダの割合や、DeadBoltグループがこれらの攻撃を経て不正に得た総額も調査しました。
今回の調査における重要点
- ランサムウェアファミリ「DeadBolt」は、QNAP社 / ASUSTOR社製NASデバイスを標的にしている
- DeadBoltランサムウェアは、標的ベンダに基づき特定の設定を動的に選択する構成ファイルを用いることで拡張性を高め、新たな攻撃キャンペーンや標的ベンダに簡単に適応できるように設計されている
- DeadBoltグループは、「被害者が復号鍵に対して身代金を支払うか」、「NASベンダがすべての被害者のデータを復号するために理論的に機能するマスターキーに対して身代金を支払うか」の2つの支払いオプションを提示している。ただし本稿執筆時点では、マスターキーによる復号が可能である証拠はまだ見つかっていません
- DeadBolt攻撃の被害者のうち約8%が身代金を支払っている
- トレンドマイクロの分析結果から、DeadBoltグループはWebおよびオペレーティングシステム(OS)に関する高度な開発技術を有していると考えられる
DeadBoltランサムウェアに対する技術的分析
DeadBoltランサムウェアには技術的な面でかなり興味深い点があります。DeadBoltグループは、暗号化機能 / 復号機能の両方を単一の実行ファイルに組み合わせていると同時に、この実行ファイルを用いて身代金要求額や連絡先の詳細を含むJSONベースの構成ファイルを解析処理(パース)します。さらにDeadBoltランサムウェアは、被害者が身代金要求メッセージ(ランサムノート)や指示に簡単にアクセスできるよう構成したWebページを作成します。
DeadBoltの検体は、Go言語で書かれたコードをコンパイル(変換)して生成された64bitのLinux用実行ファイル(.elf)です。DeadBoltランサムウェアは、攻撃者による遠隔からの手動実行、または少なくとも遠隔操作ツール(RAT)やボットなどにすでに侵害されたシステム環境内で実行されるように設計されています。DeadBoltの検体を侵害されていない新しいシステム環境内でテスト実行してみると、検体はDeadBoltランサムウェアの使用方法を実行ユーザに伝えるだけで、強制終了してしまいます。
$ ./444
encrypt usage: ./444 -e <config> <dir>
decrypt usage: ./444 -d <key> <dir>
対応している動作モードは、暗号化(-e)および復号(-d)の2つです。DeadBoltランサムウェアは暗号化活動のためにJSON構成ファイルを要求しますが、本稿執筆時点でトレンドマイクロは実際のJSON構成ファイルを発見していません。しかしながらこのELFファイルを解析することで、DeadBoltのメインの実行ファイルに引数として渡される有効な構成ファイルを推測することができます。
{
"key": "5da2297bad6924526e48e00dbfc3c27a",
"cgi_path": "./cgi.sh",
"client_id": "fb2e2de57fb405512f539a1c302e2b4f",
"vendor_name": "Testing Vendor",
"vendor_email": "contact@testingvendor",
"vendor_amount": "0.5",
"payment_amount": "0.1",
"vendor_address": "3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5",
"master_key_hash": "2dab7013f332b465b23e912d90d84c166aefbf60689242166e399d7add1c0189",
"payment_address": "1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX",
"vendor_amount_full": "1.0"
}
上記パラメータの説明を以下に示します。
パラメータの名前 |
説明 |
cgi_path |
これは、シェル言語(Bash)を用いたCGI(Common Gateway Interface)スクリプトが記述されるパスです。記述されたスクリプトは、デバイス管理Webインターフェイスで使用される正規スクリプトを置き換えるために後で用いられます |
client_id |
このIDは暗号化されたファイルに追加されます |
Key |
個々のファイルを暗号化するために用いられる128bitのAES(Advanced Encryption Standard)鍵 |
master_key_hash |
SHA-256を用いてハッシュ形式で保存されたマスターキー |
payment_amount |
復号鍵を入手するために被害者が支払う必要のある身代金の総額 |
payment_address |
被害者が身代金を支払う際に用いるビットコインウォレットID |
vendor_amount |
DeadBoltグループが攻撃活動に用いた脆弱性の詳細を開示する代わりにベンダに請求しようと試みる身代金の額 |
vendor_amount_full |
復号用のマスターキーと脆弱性の詳細を得るためにベンダが支払う必要のある身代金の総額 |
vendor_address |
ベンダが身代金を支払う際に用いるビットコインウォレットID |
vendor_name |
感染デバイスの提供元ベンダの名前(例:QNAP社) |
vendor_email |
感染デバイスの提供元ベンダのメールアドレス |
有効なJSON構成ファイルのほかにDeadBoltの実行ファイルは、ファイルの暗号化処理 / 復号処理を開始するためのディレクトリを受け取ることを要求します。これは今回の分析調査で、過去にNASデバイスを標的とした別のランサムウェアファミリとDeadBoltランサムウェアがどのように異なるかを初めて発見できた不正活動の一つです。DeadBoltのランサムノートには、ASUSTOR社 / QNAP社などのベンダが、被害者の情報をすべて取り戻すために理論上支払い可能な総額が記載されています。さらにトレンドマイクロは1回の攻撃活動で2つのランサムノートを確認しましたが、これも初めて発見できた不正活動の1つです。このうちの1つは被害者が自身でファイルやデータへのアクセスを取り戻す方法などが記されたもの(図2)で、もう1つはNASデバイスの提供元ベンダに向けたもの(図4)でした。
この二本柱からなる身代金要求手口は、サプライチェーンを侵害されたマネージド・サービス・プロバイダにも大きな被害をもたらす可能性があります。実際にランサムウェアグループ「REvil」は、Kaseya社製 IT管理ソフトウェア「VSA」の脆弱性を悪用した攻撃で似たような手口を実施しています。この事例では、マネージド・サービス・プロバイダが顧客にソフトウェアアップデートを配布するために使用していたVSAを経由し、侵入ツール群(トレンドマイクロでは「Water Mare」と命名)を展開しました。これに対し、DeadBoltの攻撃では、不正なPowerShellスクリプトが武器化され、ランサムウェアのペイロードを顧客のNASデバイスに読み込んでいたようです。被害者は個人で身代金を支払うことを選択できますが、代わりに身代金を支払うようベンダに圧力をかける可能性も高くなります。
DeadBoltグループは各被害者に、自身のデータを取り戻すために0.03ビットコイン⦅本稿執筆時点で約1,160米ドル(約15.4万円)⦆を支払うよう要求しますが、この金額は、暗号化されたNASデバイスに対して要求するにはかなり高額と言えます。一方、ベンダには2つの身代金支払いオプションが提示されます。1つはDeadBoltグループが用いた脆弱性攻撃ツール(エクスプロイト)に関する情報のみで、身代金要求額は5ビットコイン⦅執筆時点で約193,259.5米ドル(約2,573万円)⦆です。もう1つはエクスプロイトに関する情報とマスターキー(復号鍵)で、身代金要求額は50ビットコイン⦅執筆時点で約1,932,595米ドル(約2億5,737万円)⦆です。
トレンドマイクロは、DeadBoltランサムウェアが「$HOME/test」フォルダ内のテストファイルを暗号化できるかを確認するために検証を行いました。
$ mkdir test
cp /bin/ls test/document.docx
cp /bin/top test/spreadsheet.xls
以下のEntropyは、ランダム性の尺度を数値で表すためのオープンソースツールです。数値が高いほどランダムであることを意味します。これをファイルに当てはめると、エントロピー値が7.0より高いほどファイルが暗号化 / 圧縮されていることを示しており、実行ファイルの場合は暗号化や圧縮されていることを示している場合が多いです。つまり、ファイルのエントロピー値を調べることで、ランサムウェアがファイルを適切に暗号化しているかどうかを簡単に検証できます。以下は、いくつかのテストファイルのエントロピー値を示した例です。
$ entropy test/*
5.85 test/document.docx
5.83 test/spreadsheet.xls
JSON構成ファイルを提供しテストファイル上でDeadBoltランサムウェアを実行すると、ファイルが暗号化されると同時に拡張子「.deadbolt」が付加されるほか、ランサムノートが作成されました。
$ ./444 -e deadbolt.json test/
done
$ ls test/
document.docx.deadbolt '!!!_IMPORTANT_README_WHERE_ARE_MY_FILES_!!!.txt' spreadsheet.xls.deadbolt
この検証により、DeadBoltランサムウェアが暗号化したテストファイルのエントロピー値は5.8から8.0に増加しました。
$ entropy test/*deadbolt
8.00 test/document.docx.deadbolt
8.00 test/spreadsheet.xls.deadbolt
DeadBoltランサムウェアによる暗号化活動
DeadBoltランサムウェアは、JSON構成ファイルから提供された鍵を使ってAES-128のCBCモードでファイルを暗号化します。DeadBoltは、ファイルの内容を暗号化した後、暗号化されたファイルにバイナリ形式で以下のデータを付加します(図1)。
- 「DeadBolt」の文字列
- 元ファイルのサイズ
- 16バイトのクライアントID(被害者ID)
- AES暗号方式の初期化ベクトル(IV)(ファイルごとに異なる)
- AES-128ビット鍵のSHA-256
- 「マスター」キーのSHA-256
- 16個のNULLバイト
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture1.jpg)
DeadBoltのランサムノート
DeadBoltランサムウェアは暗号化活動の後、感染デバイスのルートディレクトリ上に以下のテキストファイルが作成されます。
!!!_IMPORTANT_README_WHERE_ARE_MY_FILES_!!!.txt
また、被害者がNASデバイスのWeb管理ページにアクセスしようと試みるとランサムノートが表示されます(図2)。これは、DeadBoltランサムウェアが正規CGIスクリプトを置き換えて身代金要求ページを表示させるためです。ここで重要なことは、身代金要求額、ベンダ名、連絡先情報はすべて手動で検証用JSON構成ファイル内に作成されたものであり、こうした値はDeadBolt攻撃の被害者が感染システム内で目にする実際の値を反映していない点です。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture2.jpg)
ランサムノートに記載されたURLリンクをクリックすると、以下のポップアップウィンドウが開きます(図3、図4)。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture3.jpg)
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture4.jpg)
DeadBoltグループが構築した復号方法
トレンドマイクロは、実行ファイル(DeadBoltランサムウェア)の起動時にJSON構成ファイル経由で提供された正しい鍵を使って暗号化されたファイルを復号できることを確認しました。さらに図3に示したWebページには、提供された復号鍵を渡すことでDeadBoltランサムウェアの実行ファイルを呼び出す機能があります。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture5.png)
被害者は正しい鍵を用いることで、感染デバイスのWebユーザ・インターフェース(UI)を使ってファイルを復号することができます。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture6.jpg)
このWeb UIは、DeadBoltグループが同ランサムウェアファミリの開発にどれほど労力を費やしてきたかを示すもう一つの例です。別のランサムウェアファミリの作者は、身代金を支払った被害者にわかりにくい復号手順を提示する一方で、DeadBoltランサムウェアの作者は、被害者が身代金を支払い、復号鍵を入手した後、暗号化されたデータを自身で復号できるWeb UIを構築しました。被害者が身代金の支払いを完了させると、ブロックチェーン・トランザクションのOP_RETURNフィールドには自動的に復号鍵が提供されるよう設計されています。これは、被害者がランサムウェアグループと連絡を取り合う必要がない独自の復号処理と言えます。実際、図4に示す通り、DeadBoltグループと連絡を取る方法は記載されていません。別のランサムウェアファミリ(CTB-Lockerなど)の作者は、過去にこの手口を自身の攻撃キャンペーンに採用しました。
なお今回の調査では、マスターキーによる復号がどのように機能するかを確認できなかった点に注意が必要です。トレンドマイクロの検証では、DeadBoltランサムウェアにより暗号化されたファイルに対しても、マスターキーによる復号が可能であるという証拠は見つかりませんでした。これはAESが対称暗号方式であるにも関わらず、暗号化されたファイルに他のデータが追加されていないためです。特筆すべき点は、JSON構成ファイル経由で提供された「マスターキー」が暗号化活動で使用されないことです。
DeadBoltランサムウェアの感染状況に関する変化
Censys社は当初DeadBoltランサムウェアから約5,000個の感染したサービスを確認したと言及しました。トレンドマイクロはこのデータを調べた結果、DeadBoltランサムウェアに感染したシステムの数が減少していることを確認しました。トレンドマイクロのデータでは2022年3月の感染数が最も多くなっています(図7)。ただしトレンドマイクロは、一部のシステムが複数のHTTP-titleで返信していることを観測しました。これはランサムウェアの感染を示すもので、1つのデバイスに複数の感染が記録されている可能性があります。例としてNASデバイスがHTTP(ポート番号80)とHTTPS(ポート番号443)の両方を開放している場合、このデバイス1台で2つの感染がカウントされることになります。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture7.jpg)
トレンドマイクロはデータを調べ続けた結果、QNAP社 / ASUSTOR社の両方がDeadBoltグループの標的となっているものの、ほとんどの感染はQNAP社製デバイス上で発生していることがわかりました(図8赤)。DeadBoltランサムウェアに感染したASUSTOR社製デバイスは感染のピーク時でも350台ほどしかなく、この数は本稿執筆時点で95台にまで減少しました(図8黒)。「NASデバイスへの感染」と「エンドポイント(システム端末)への感染」は同義でない点に注意が必要です。NASデバイスにはユーザのデータが大量に保存されていることが多く、ほとんどはランサムウェア攻撃を受けた場合に回復・復旧できない可能性があります。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture8.jpg)
少なくとも2,300台のDeadBoltに感染したQNAP社製 / ASUSTOR社製デバイスがインターネットに接続されている状況でも、感染デバイスの数が減少していることは特筆すべき点です。これはおそらくユーザがシステムをオフラインにしているか、ファイルを元に戻すために身代金額を支払ったためだと考えられます。しかしながら、NASデバイスを攻撃するために用いられるランサムウェアファミリの数が増えるにつれて、インターネットに露呈しているNASデバイスの数はさらに警戒すべき状況となっています。本稿執筆時点でトレンドマイクロは2,500台以上のASUSTOR社製デバイス / 83,000台以上のQNAP社製デバイスがインターネット上にサービスを露呈していることを確認しました。
DeadBoltグループにより生じた経済損失(統計データ)を基に得られた知見
DeadBoltグループの運営における興味深い側面の一つは、被害者が身代金を支払うとトランザクションに付随するOP_RETURNフィールドの一部として、ブロックチェーン内に復号鍵に関する情報が自動で入力されることです。これによりこれらの身代金の支払いがいつ行われ、いくら支払われたかを正確に確認できることから、興味深い機能と言えます。
一例としてトレンドマイクロは、DeadBoltグループが「各復号鍵に0.03ビットコイン(約15.4万円)」、「攻撃に用いた脆弱性悪用手口の詳細に5または7.5ビットコイン(約2,573万または約3,861万円)」、「完全な脆弱性悪用手口およびマスターキーに50ビットコイン(約2.6億円)」を要求していることを確認しました。さらにトレンドマイクロは、現在の悪名高いランサムウェア攻撃で主流となっている「Human-Operated」型(侵入型ランサムウェア)攻撃とは異なり、DeadBolt攻撃の被害を受けた場合、身代金の支払額を交渉できないことも確認しました。身代金の額は、経済面で多少ひっ迫させる一方で、これらのランサムウェアグループがどのように攻撃活動を運営しているかについてのアイデアを我々に与えるため、詳説する価値があります。
50ビットコイン(約2.6億円)と要求額が明記されている事実は、DeadBoltグループが今回の作戦で手に入れようとしている金額を示しています。このことからDeadBoltグループはCensys社が予測した最高額440万米ドル(約5.86億円)を稼ぎ出すことを想定していなかったことが明白です。その論理を用いて考えをさらに進めるために、DeadBoltグループの成功を純粋なビジネス用語で分析してみましょう。
1,900,000 ÷ 4,400,000 = 0.43
注意:上記の割合は、DeadBolt攻撃のピーク時(2022年1月、図8)におけるビットコイン対米ドルのレートを用いて計算されています。
上記の計算式からDeadBoltグループは、被害者のうち43%が身代金を支払えば満足だったと算出できます。あるいは40%以上の被害者が身代金を支払うとは想定していなかったとも考えられます。実際には、本稿執筆時点で身代金を支払った被害者の割合はわずか8%でした。トレンドマイクロの分析では、DeadBoltグループに身代金を支払った被害者は感染被害を受けてから20日以内に支払いを済ませ、観測期間後半である80日目を過ぎると身代金を支払った被害者の数は先細りになっています。図9のデータは、人々が身代金を支払う可能性が時間の経過とともに減少していることを示しており、ある期間を過ぎると、DeadBolt攻撃の被害者が身代金を支払う可能性はさらに低くなっていきます。
/closing-the-door-deadbolt-ransomware-locks-out-vendors-with-mult/Picture9.jpg)
図9に示す継続時間分析の折れ線グラフは、被害者が身代金を支払った日付範囲を表しています。当該分析調査では、身代金を支払わなかった被害者をサバイバー(生存者)、身代金を支払った被害者をターミナル(終末期)と呼んでいます。この分析調査により、ランサムウェアに採用された手口や身代金の支払いを防ぐ方法をさらに理解することができます。
さらに踏み込んで言えば、身代金として5~7.5ビットコイン(約2,573万~約3,861万円)を支払うことで、DeadBoltグループは喜んで自身の用いた脆弱性悪用手口を公開しているとも言えます。ただし、我々はDeadBoltグループの言葉を鵜呑みにしているだけであり、明らかに寛容な側面があります。一方、我々が割り切って考えることで、この分析調査が可能になるとも言えます。また、DeadBoltグループは6%のコンバージョン率⦅30万米ドル(約3,995万円)を440米万ドル(約5.86億円)で割った値⦆が現金化する上で十分な値だと考えている可能性もあります。DeadBoltグループは明らかに我々よりも支払い比率について詳しく、最終的には8%を上回りました。
加えてDeadBoltグループは30万米ドル(約3,995万円)という金額が低リスクかつ良い条件となることを事前に知っていたことも明らかです。これは、全体の運用コストが15万米ドル(約1,998万円)未満であることを示唆しています。そうでなければ、利益率は望ましくないと言えます。ただし被害者のうち約92%が身代金を支払わないことを選択したという事実は、サイバーセキュリティにおける大きな成功にも関わらず、我々は気に留めないことを選択しがちです。代わりにランサムウェアグループが攻撃活動を経てどれだけの金額を稼ぎ出したかに焦点を当てる傾向にあります。
DeadBolt攻撃により生じた経済損失をできる限り把握してみましょう。身代金を支払った被害者にとっての金銭的損失はおそらく0.03ビットコイン(約15.4万円)よりも高額と考えられます。身代金を支払わなかった被害者の金銭的損失は、0~1,000米ドル(0~約13.3万円)と低額であったと合理的に推測できます。問題を単純化すると、身代金を支払わなかった被害者に生じた金銭的損失は平均500米ドル(約6.7万円)になる可能性があることを示唆しています。
(0.08 x 4,988 × 1,000) + (0.92 × 4,988 × 500) = 2,693,520
⦅身代金を支払った被害者の割合(約8%) x 感染の兆候を示したQNAP社製NASデバイスのサービスの数(4,988台) x 金銭的損失の最低額(1,000米ドル以上)⦆ + ⦅身代金を支払わなかった被害者の割合(92%) x 感染の兆候を示したQNAP社製NASデバイスのサービスの数(4,988台) x 金銭的損失の平均額(500米ドル)⦆ = DeadBolt攻撃により生じた経済損失
上記の計算式に基づくとDeadBoltグループは、約2,693,520米ドル(約3.59億円)の経済損失を生じさせることで30万米ドル(約3,995万円)を稼いでいることになります。また、DeadBoltグループが脆弱性悪用手口の詳細と引き換えに要求する30万米ドル(約3,995万円)という金額は、おそらくDeadBoltグループに属する複数のメンバーに分割して支払われることを考えると興味深いものがあります。これらの数字に基づくと、DeadBoltグループは数千米ドル(数十万円)を稼ぐために、被害者に数百万米ドル(数億円)を要求すると同時に、逮捕された場合には投獄されるというリスクを背負っていることになります。これは賢明なリスクの定量化ではないと考えられます。
これらの攻撃活動は金銭的利益を得ることが目的なのでしょうか。あるいは損害を与えることが目的なのでしょうか。DeadBoltグループは、社会全体を罰しているのでしょうか。それとも特定のベンダのみを攻撃しているのでしょうか。もしくはこれらの攻撃活動は、自動化と感染数に重点を置いた高度化されたビジネスモデルであると同時に、影響を受けたベンダから一度に多額の支払いを受ける可能性を示しているのでしょうか。これらは、DeadBoltグループの調査後に我々に残された疑問の一部です。
セキュリティに関する推奨事項
個人ユーザや法人組織は、以下のセキュリティに関する推奨事項を実践することで、NASデバイスを安全に保つことができます。
- NASデバイスのファームウェアを定期的に更新すること。最新の修正プログラム(パッチ)が利用可能になり次第、インストールされていることを確認すること。
- 不要時はNASデバイスをインターネットに接続しないように保つこと。遠隔からNASデバイスにアクセスする場合は、NASデバイス提供元ベンダのリモートアクセスサービスを利用するか、仮想プライベートネットワーク(VPN)ソリューションを用いて安全にアクセスすること。
- 強力なパスワード / 二要素認証(2FA)を設定すること。弱いパスワードや初期設定の認証情報は、強力なパスワードに変更すること。NASデバイスが二要素認証に対応している場合は有効化し、総当たり攻撃 / 辞書攻撃 / アカウントリスト攻撃に対するセキュリティ層を追加すること。
- 接続環境や通信ポートを安全に保つこと。HTTPの代わりにHTTPSを有効化し、送受信トラフィックを安全に保つこと。未使用の通信ポートはすべて閉じ、既定のポートを変更すること。
- 未使用のサービスや古いサービスは、シャットダウンまたはアンインストールすること。NASデバイスが侵害されるリスクを軽減するために、未使用のサービスや古いサービスを削除すること。
まとめ
概してDeadBoltグループに支払われた身代金の総額は、感染デバイスの数に比べて少なく、被害者の多くが身代金を支払っていないという結論に至りました。また、DeadBoltグループが要求した身代金の額はNASデバイスの新品価格よりも高額であったため、被害者の多くが自身のデータを維持するために身代金の支払いを望まなかったことも特筆すべき点です。おそらく身代金の要求額がさらに高額であった場合は、さらに多くの被害者が身代金の支払いに応じなかったものと考えられます。DeadBoltグループの目標は、自身の攻撃キャンペーンを介してできるだけ多くのNASデバイスにランサムウェアを感染させて被害者からの支払いを得るか、ベンダに支払いオプションの1つを支払わせて多額の金銭的支払いを得ることです。
ベンダに提供される復号用のマスターキーはDeadBolt攻撃キャンペーンで機能しませんでしたが、被害者 / ベンダの双方に対して身代金を要求という構想は興味深い脅迫手口と言えます。特にこの戦術はランサムウェアグループ側の労力が少ないため、今後のランサムウェア攻撃で用いられる可能性があります。
DeadBoltグループは、ランサムウェア界でいくつかの革新的な技術を示しています。DeadBoltランサムウェアはNASデバイスを標的とし、多層的な支払いオプション / 脅迫手口を備えているほか、柔軟な構成が採用されています。しかし、ランサムウェア界における収益構造への主な貢献は、おそらくその高度に自動化された古くから存在するばらまき型攻撃にあると考えられます。大物狩りや一回限りの支払いに焦点を当てた「Human-Operated」型ランサムウェア攻撃に注目が集まっています。しかし、DeadBoltグループなどが用いる不特定多数の標的デバイスに感染させる『ばらまき』に重点を置いたランサムウェア攻撃も同様に、エンドユーザやベンダに多くの被害をもたらす可能性があります。
侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらをご参照ください。
参考記事:
• 「Closing the Door: DeadBolt Ransomware Locks Out Vendors With Multitiered Extortion Scheme」
By: Trend Micro Research
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)