ランサムウェア
インドを標的とするランサムウェア「WannaRen」の新亜種「Life」
本記事では、トレンドマイクロで解析を行ったランサムウェア「WannaRen」の新亜種の特徴について解説します。この亜種は、ファイルを暗号化した際に付ける拡張子にちなんで、ランサムウェア「Life」と名付けました。
本記事では、トレンドマイクロで解析を行ったランサムウェア「WannaRen」の新亜種の特徴について解説します。この亜種は、ファイルを暗号化した際に付ける拡張子にちなんで、ランサムウェア「Life」と名付けました。
Ryuk、REvil、Maze等のランサムウェアファミリほど一般的ではありませんが、ランサムウェア「WannaRen」は2020年に中国のインターネットユーザに対して攻撃を開始しその被害が数万件に及んだことから、その名が知られるようになりました。そして、その攻撃以来、目立った動きはありませんでした。後の2020年8月に、このランサムウェアの作成者は、暗号化されたデータを復号するための秘密鍵をセキュリティ企業に共有するまでに至っています。
2022年10月にトレンドマイクロが本検体の解析を開始した当初、本ランサムウェアは新しいランサムウェアと考えられていましたが、解析の結果「WannaRen」が復活したものである可能性が高いことが判明しました。本記事では、この新しい亜種の特徴について解説します。なお、この亜種は、ファイルを暗号化した際に付ける拡張子にちなんでランサムウェア「Life」と名付けました。中国や台湾をターゲットにしていた2020年のランサムウェア「WannaRen」による攻撃とは異なり、この新亜種はインドの企業や組織を標的にしています。
2020年当時出現したランサムウェア「WannaRen」の亜種は、アクティベーションツールにバンドルされている不正なPowerShellコードを用いて拡散されました。そして、このスクリプトは、「不正なランサムウェアモジュールを取得するためのリンク」と接続するPowerShellダウンローダを取得します。一方、新しい亜種は、旧バージョンとは異なりバッチファイルを使用して「WINWORD.exe」をダウンロードし実行します。これは、DLLサイドローディングを実行しランサムウェアをメモリにロードするために行われます。
解析
トレンドマイクロは、当初正規の実行ファイル「WINWORD.exe(Microsoft Wordの実行ファイル)」のプロセスにおける感染を発見したと判断しました。しかし、さらなる調査により、この感染は不正なDLLサイドローディングを実行するために「WINWORD.exe」を悪用する「マルチコンポーネント型マルウェア」であることが判明しました(なお、2022年10月末頃「NTSD.exe」を代わりに悪用する亜種も発見されています)。そして、暗号化されたファイルとしてランサムウェアがシステムにおいて作成され、攻撃者は「WINWORD」に与えられたコマンドライン引数を使用してランサムウェアをフェッチします。
しかし、このような一連のルーチンをランサムウェアの攻撃に組み込むことは目新しいことではなく、LockBitのような名の知れたグループによる同様のアプローチが既に確認されています。
「WannaRen」は、特にその拡散方法において「WannaCry」を模倣していることでも知られています。このランサムウェアは、「WannaCry」と同じく、トロイの木馬に感染したインストーラを使用しEternalBlue等のエクスプロイトを悪用することにより拡散していました。(この二者の類似性を鑑みて、このランサムウェアは「WannaRen」と名づけられています。)そして、長い沈黙の後、このランサムウェアは新たな攻撃方法を追加して戻ってきました。また、2022年10月末には「NTSD.exe」を代わりに悪用する亜種も発見されています。
ダウンローダに加え、旧バージョンの「WannaRen」ではsvchost.exe、cmd.exe、mmc.exe、ctfmon.exe、rekeywiz.exe等の様々なプロセスに対してインジェクト(注入攻撃)が実行されていました。一方、この新しい亜種においては、ランサムウェアルーチンを実行するためにメモリ内にロードされるのみとなります。
「WINWORD.exe」は、実行されると、「wwlib.dll」をロードしエクスポートFMainを実行します。
一度ロードされると、「wwlib.dll」は引き渡された実行引数のパースを開始します。まず、暗号化されたシェルコード「sc.dat」を検索し、そのファイルが不正なモジュールが配置されているのと同じディレクトリ内に存在するか否かを確認します。また同様に、暗号化されたランサムウェアのバイナリである「config.bin」を検索し、そのファイルが不正なモジュールが配置されているのと同じディレクトリ内に存在するか否かを確認します。両者の存在が確認された場合、復号化されたシェルコードを使用して、ランサムウェアをメモリにロードしランサムウェアルーチンを実行します。
このような最近の攻撃事象における「WannaRenの新亜種」と「Shadow Brokersのツールキット(別称:Equation Groupから流出したとされるツール)の使用」の相関関係は、まだ完全には検証されていません。ただし、「WannaRen」の影響を受けたシステムの多くに、このハッキングツールが含まれているという点については注目に値します。
また、ランサムウェアのパッケージ全体(不正ではないバイナリ及びトロイの木馬に感染したDLL)が、MSIバンドルとして拡散されている可能性があります。
影響
ランサムウェア「Life」は、ファイルを暗号化した後、そのファイルに拡張子「.life」を追加します。そして、「%Desktop%」 フォルダに「READ ME.txt」という身代金要求文書(ランサムノート)が作成されます。
まとめと対策ートレンドマイクロのソリューションー
「WannaRen」の最初の亜種の活動期間は短期間でしたが、その間に多くの損害を発生させました。そして、新亜種として再登場したことを鑑みると、元オペレーター(またはコードにアクセスすることに成功した攻撃者)が他の地域への拡散を狙っている可能性があります。
ランサムウェアの攻撃を防御するためには、企業・組織はシステムへの侵入口(エンドポイント、電子メール、Web、ネットワーク等)を保護することが大切です。そのためには、多層的なセキュリティアプローチの導入をお勧めします。以下のセキュリティ・ソリューションにより、不正なコンポーネントや疑わしい挙動を検出することが可能となります。
- Trend Micro Vision One™は、多層防御及び挙動の検知機能を提供し、ランサムウェアがシステムに不可逆的な損害を与える前に、疑わしい挙動やツールを早期にブロックすることを可能にします。
- Trend Micro Cloud One™ Workload Securityは、脆弱性を悪用する既知及び未知の脅威からシステムを保護します。このような保護の実現には、仮想パッチや機械学習等の技術が用いられています。
- Trend Micro™ Deep Discovery™ Email Inspectorは、カスタムサンドボックスや高度な解析技術を用いて、ランサムウェアの侵入口となるフィッシングメールを含む不正なメールを効果的にブロックします。
- Trend Micro Apex One™は、ファイルレス攻撃やランサムウェア等の攻撃に対して、次世代レベルの自動脅威検知及び防御を提供し、確実にエンドポイントを保護します。
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
参考記事
WannaRen Returns as Life Ransomware, Targets India
By: Don Ovid Ladores, Jeffrey Francis Bonaobra
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)