RYUK ランサムウェアの概要

Ryuk (リューク) は、2018年半ばから後半に登場したランサムウェアのファミリです。2018年12月、New York Times紙は、Tribune Publishing社がRyukに感染し、サンディエゴおよびフロリダでの印刷が中断されたと報じました。New York Times紙とWall Street Journal紙はロサンゼルスの印刷施設を共同使用していました。この攻撃によってこの両紙も影響を受け、土曜版の配達で問題が発生しました。

以前のHermesランサムウェアの亜種であるRyukは、最も危険なランサムウェア攻撃リストのトップを飾っています。CrowdStrike社の2020年グローバル脅威レポートによれば、この年の身代金要求額トップ10のうちの3つ (530万、990万、1,250万米ドル) がRyukによるものでした。Ryukは世界中の組織へ攻撃を成功させました。

Ryukランサムウェアは、WIZARD SPIDERと呼ばれるロシアのサイバー犯罪者グループが運用していると考えられています。いくつかの医療機関に特化した攻撃は、東ヨーロッパの攻撃者であるUNC1878により実行されていました。このランサムウェア攻撃では、ランサムウェアの展開は直接的には行わず、ハッカーは先に別のマルウェアをコンピュータにダウンロードさせ、そのマルウェアを経由してランサムウェアに感染させます。

Ryukはシステムを感染させると、まず特定のサービスとプロセスをシャットダウンします。これらのサービスやプロセスはRyukの目的を阻害する可能性があるものが該当し、これらを停止することでランサムウェア攻撃をにします。

その後、Ryukは暗号化を実行します。Ryukは、写真、動画、データベース、ドキュメントなどのファイル、つまり大事なデータをすべて、共通鍵暗号方式のAES-256と公開鍵暗号方式のRSA-4096を使用して暗号化されます。

Ryukは、リモートの管理共有も含め、リモートから暗号化を実行できます。また、Wake-On-Lanを実行して、暗号化のためにコンピュータを遠隔で起動できます。これらの機能により、幅広く効果的に暗号化を実行し、損害を広げることができます。

ハッカーは、以下のスクリーンショットに示すような内容を含む、身代金要求メッセージを「RyukReadMe.txt」、「UNIQUE_ID_DO_NOT_REMOVE.txt」などのファイル名でシステムに残します。

多くの場合、ユーザは知らないうちに、初期感染を実行するフィッシング攻撃の餌食となっています。AdvIntel社によると、攻撃の91%はフィッシングメールから始まっています。したがって、ユーザがフィッシングメールを見分けられるように訓練・注意喚起することは非常に重要です。

感染範囲の観点から言うと、Ryukは最も悪名高く、有名なRansomware as a Service (RaaS) プログラムの1つです。RaaSは、ランサムウェアの開発者が他のサイバー犯罪者に対してランサムウェアを「サービス」として提供するモデルです。攻撃の成功時には、開発者は身代金の一部を受け取ります。

ユーザがフィッシングメールをクリックすると、ドロッパと呼ばれる追加のマルウェアがダウンロードされます。この追加でダウンロードされるマルウェアは、Trickbot、Zloader、BazarBackdoorなどが確認されています。これらのドロッパはRyukを直接インストールする場合もありますが、

コマンド＆コントロール (C＆C) サーバと通信するCobalt Strike Beaconなどのツールをインストールするものもあります。やがて、これを経由してRyukがダウンロードされます。なお、RyukはWindowsサーバの脆弱性であるZerologonの脆弱性などを悪用することが知られています。

以下の図は、Ryukの感染パス (攻撃キルチェーン) を示しています。

Ryukの感染パス図

Trickbotは2016年に登場し、Ryukを運用していると想定されるサイバー犯罪者グループWIZARD SPIDERによって実行されていると考えられています。このマルウェアはユーザの認証情報、個人情報、およびビットコインを盗み出すバンキングトロジャンとして使用されてきました。

Trickbotは高度な技術を持つハッカーにより、感染したシステムでファイルを検索するなど、追加の目的で使用されるように設計されています。また1つのマシンから別のマシンへとネットワーク内を横方向に展開することもできます。Trickbotの機能には、認証情報の収集、クリプトマイニングなどもありますが、最も重要な機能はRyukランサムウェアの展開です。

ランサムウェア攻撃は非常に大きな影響を及ぼす可能性があることから、ランサムウェアの暗号化が開始する前に早期に検知し対応することが重要です。

Ryukは様々な攻撃チェーンによって感染させるため、その検知作業は複雑です。セキュリティ管理者がRyuk感染の前兆を見分けるために使用できる侵入の痕跡 (IoC) は多数あります。

例えば、ドロッパであるBazarLoaderはRyukの一般的な入り口の1つです。ドロッパとは、別のマルウェアをダウンロードするマルウェアです。監視すべきBazarLoaderのいくつかのIoCを以下に示します。

• 「StartAd-Ad」という名前のスケジュールされたタスクがWindowsレジストリに表示され、続いて自動実行エントリが追加される
• Report.DOC.exeのように拡張子が二重で付けられた実行可能ファイル
   

前述のTrickbotも、Ryukの一般的な入り口の1つです。このIoCは、12文字のランダムに生成されたファイル名を持つ実行可能ファイルです。Trickbotにより作成されたmnfjdieks.exeなどのファイルは、以下のいずれかのフォルダに存在します。

• C:\Windows\
• C:\Windows\SysWOW64
• C:\Users\[Username]\AppData\Roaming
   

TrickbotのIOCの一覧については、米国のCybersecurity & Infrastructure Security Agency (CISA) のWebサイトのアラートを参照してください。

多くの場合、Ryukに感染した企業が最初に目にする侵入の痕跡は以下の画面です。この画面は、Ryukが企業を感染させ、機密データを暗号化したことを示しています。企業に適切なインシデント対応チームおよび戦略があり、データをオフラインでバックアップしていれば、より早い復旧が可能です。

Ryukは主に、政府、テクノロジ企業、および学校システムの攻撃に利用されてきました。サイバーセキュリティのブランドを持つフランスのITサービス会社であるSopra Steria社も、2020年にRyukに感染しました。

また、Ryukは医療分野に対する最大の脅威の1つでもあります。多くのランサムウェア攻撃者が新型コロナウイルスによるパンデミックを受けて医療業界から手を引くことを表明した一方で、Ryuk の背後に潜む関係者はそのような約束はせず、医療業界への攻撃を続けました。これを受けて2020 年10 月、US-CERT は医療分野を標的としたランサムウェアに関する勧告を発表しました。被害を受けた医療分野の会社として、例えば2020年9月にUniversal Health Services (UHS) 社がRyukによるランサムウェア攻撃を受けました。この会社は米国とイギリスに病院を持つ大手医療会社です。

BleepingComputerによれば、UHS社への侵入経路として最も可能性が高いのはフィッシングメールでした。このフィッシングメールには、トロイの木馬であるEmotetが含まれていた可能性があります。ハッカーグループWIZARD SPIDERはEmotetによってTrickbotをインストールし、Trickbotを使用して、リバースシェルを介してRyukを手動でインストールしたと考えられます。

2020年10月には、ハッカーはさらに2つの医療センターをRyukに感染させました。1つはオレゴン州のSky Lakes Medical Center、もう1つはニューヨーク州のLawrence Health Systemです。この攻撃によりコンピュータシステムがオフラインになり、電子カルテが使用できなくなりました。どちらの病院もすでに新型コロナウイルス患者の治療で疲弊しており、攻撃によりさらに事態が悪化しました。これらの病院への攻撃は数週間続きました。

企業や個人がランサムウェアから自身を守るためにできることは数多くあります。主な例をいくつか示します。

• OS、ソフトウェア、ファームウェアに確実にパッチを適用する。
• 強力な第二要素を使用する多要素認証を可能な限り使用する (2FAなど)。米国標準技術研究所 (NIST) では、第二要素としてSMSを使用しないことを推奨しています。
• アカウント、アクセス、ログなどを頻繁に監査して、構成や活動を確認する。
• データバックアップを定期的に作成し、オフラインで保存する (特に重要なシステムに対して)。
• フィッシングメールに関する従業員教育を実施する。
   

トレンドマイクロでは、昨今のランサムウェア攻撃動向とそれに対抗するために取るべき一般的な対策をまとめたリサーチペーパーを公開しています。最新のランサムウェア攻撃のトレンドを理解し、組織のセキュリティ対策に活かしてください。