Ransoc、ローカルファイルとソーシャルメディアプロフィールを荒らし回りデスクトップをロックするランサムウェア

概要

昨年、ランサムウェアは爆発的でした。簡単に収益化できることや、大規模なメールキャンペーンを通じてでも、さまざまなエクスプロイトキットを介してでも配信が容易なことから、大勢の脅威アクターに好まれるマルウェアとなっています。 Proofpointのリサーチは、ランサムウェアの変種の数が2015年12月から10倍にも増えていると示唆しています。 そのようなマルウェアのほとんどが被害者のファイルを暗号化し、それを復号化するために身代金をビットコインで支払うよう求めるものである一方、Proofpointのリサーチャーは最近、機密情報の可能性を求めてファイルやトレントをスキャンしながら、Skypeやソーシャルメディアの個人情報プロファイルを取得する新しい変種を検知しました。 ファイルを暗号化する代わりに、被害者が身代金を払えなければ、偽造の法的手続きで脅します。

発見

10月の最終週に、FoxIT InTELLの同業者、Frank Ruizが新しいブラウザロッカーの変種を我々に示してくれました。 Lockyのような従来の暗号化ランサムウェアとは異なり、ブラウザロッカーはフルスクリーンのウェブアプリで、ユーザーがオペレーティングシステムにアクセスしたり、ブラウザのウィンドウを閉じたりできないようにします。 この場合、ブラウザロッカーは偽造の「Penalty Notice（罰金の通告）」を表示して被害者に「[被害者の] 問題を示談で解決」させようとします。法的手段の脅威や、被害者のコンピュータで詐称的に検出した不愉快なコンテンツや疑わしいアクティビティでもっと高額な罰金になることを避けるためです（図1）。

図1: ブラウザロッカーの「Penalty Notice（罰金の通告）」

このブラウザロッカーはアメリカでマルバタイジング（以前はPlugrushや成人向けウェブサイトで交わされるTraffic Shopのトラフィックに送り込まれていた）トラフィックを介して広がり、WindowsではInternet Explorerが、またOS XではSafariが標的になりました。

このタイプの脅威は2012年から2014年までは特定の地域に特有で。一斉にエクスプロイトキットと「Police Locker（ポリスロッカー）」マルウェアと共に一斉に広がる様子が頻繁に見受けられました [1]。 それ以降、同じ種類のトラフィックは、暗号文のランサムウェアやその他のマルウェアのエクスプロイトキットによる配信に集中し、また、被害者が架空の技術サポートサービスに連絡してクレジットカード払いの手数料を支払ってPCからマルウェアを取り除くように言われる技術サポート詐欺にも、大々的に集中しています。 

しかし、11月の第1週に、弊社は独特なマルウェアの変種を検出し、これは視覚的かつ主題的な類似性と配布メカニズムに基づき、図1に示しているような「Penalty Notice（罰金の通告）」ブローロックだと弊社では確信しています。 しかし、ブラウザロッカーはクロスプラットフォームで機能するものの、これに関連するRansocと呼ばれるマルウェアはWindowsのバイナリであることにご注意ください。

Ransoc

サンドボックス環境で、弊社はこの新しいマルウェアプラットフォーム確認しました。IPチェックを行い、Torネットワークを経由してトラフィックにすべて送信します。 さらなる検査により、このマルウェアが児童ポルノに関連するストリングを求めてローカルメディアのファイルネームをスキャンすることがわかりました。

また、Skype、LinkedIn、Facebookのプロフィールと相互に作用してルーチンをもって実行していることにも気付きました（図2）。

図2: Skypeとソーシャルメディアのプロフィールを検査するコード

このコードではトレントソフトウェアからのフォルダーも検査していました（図3）。

図3: トレントフォルダーコンテンツを検査するコード

このようなサービスでマルウェアの相互作用の性質を断定するために、弊社のサンドボックスで手動で実行しました。 弊社は偽造のソーシャルネットワークアカウントでログインして、ブラウザを閉じ、Skypeデスクトップアプリケーションを起動しました。 予測した通り、マルウェアが実行された後、弊社が作成した偽造のFacebookとLinkedInのプロフィールに繋がっていることを確認しました（図4）。

図4: ソーシャルメディアアカウントのプロフィールから画像をキャプチャするRansoc

ソーシャルメディアに接続することから弊社がRansocと呼ぶマルウェアは、Penalty Notice（罰金の通告）を表示します。これは図1に示したブラウザロッカーに視覚的にも機能的にも類似していました。 図5に、新しい罰金の通告を示します。 この罰金の通告は、マルウェアが児童ポルノやトレントを介してダウンロードされたメディアファイルの証拠の可能性を発見して、発見したものに基づいて罰金の通告をカスタマイズする場合のみに現れるようです。 弊社が手動でファイル名を特別なストリングに合うように変更すると、罰金の通告が動作しました。

図5: ソーシャルメディアのプロフィール情報と「回収したデータはすべて公開され、この件は裁判にかけられます！」と脅迫がついた新型の罰金の通告。

身代金要求メッセージはSkypeやソーシャルメディアプロフィールから得た正確な個人データを、プロフィール画像も含めて表示します。 ソーシャルエンジニアリングのおとりとして使われる合法のソーシャルプロフィール情報を使って、集めた「証拠」を公共の目にさらすと脅迫し、被害者に機密情報が公表されるリスクに実際にあるのではないかと確信させます。 ほとんどのランサムウェアの変種とは異なり、ここでは標的は被害者のファイルではなく、評判です。 Ransocには被害者のウェブカメラにアクセスできるコードも含まれていますが、この機能に関しては弊社は検証できませんでした。

身代金要求メッセージは実際、フルスクリーンのウィンドウで、図1に示すブラウザロッカーアプリケーションに酷似して機能します。 しかしRansocは100msごとにregedit、msconfig、taskmgrをチェックし、被害者がマルウェアを取り除いたり無効にする機会を得る前にそのプロセスを終了（kill）します。 Ransocは持続させるためにレジストリ自動実行キーを使用するだけですので、セーフモードに再起動すればユーザーはマルウェアを削除できます。

支払いシステム（図6）も通常とは異なります。

図6: Ransoc支払いページ

クレジットカード払いはランサムウェアのスキームではほとんど聞いたことがありません。 ビットコインでプロセスを行う大半の被害者のイライラや戸惑いを取り除くものの、法執行機関がサイバー犯罪のアクティビティをもっと容易にたどることができる可能性を与えます。

このかなり大胆な身代金支払いのアプローチは、身代金を支払う人は隠すだけのことがあり、また法執行機関の助けを求めないであろうことを、脅威アクターがほぼ確信していることを示唆しています。 実際、Ransocは本物の犯罪に対する自警主義により動いているようにも見えますが、動機はおそらく利他的ではなく、攻撃側は抵抗したり当局に通告したりしそうにないユーザーを標的にして支払いの可能性を増やしています。 大半の被害者が成人向けウェブサイトのマルバタイジングを経由してこのマルウェアに遭遇することや、罰金の通告はRansocが違法で（BitTorrent経由で）ダウンロードされたメディアや特定のタイプのポルノの証拠の可能性を見つけた時にのみ表示されることが、さらにこの理論を裏付けています。 支払いをさせるために、身代金の通知で、被害者が180日以内に再度捕まらなければ、お金は返金すると断言します。

結論

エクスプロイトキットのアクティビティが過去数年で急激に減ったものの、マルバタイジングのアクティビティは依然として力を持っており、脅威アクターは被害者に影響を与え、この侵入経路からお金をゆすりとる新しい手段を模索しています。 ソーシャルメディアアカウントやSkypeのプロフィールのデータを包含して、Ransocは強制的かつ社会的に人工で作り出された身代金要求の通告を作成し、標的が閲覧行為やハードドライブのコンテンツのために起訴される危険にあると確信させます。 支払いを回収する大胆なアプローチとともに、脅威アクターは標的特定に確信を持ち始め、新しいレベルの高度な複雑さをランサムウェア配信と収益化に導入しています。

攻撃されたことを示す痕跡（IOC）

参考

[1]http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.htm