政治的発言を要求するランサムウェア「RanRan」

『Security Affairs』

April 12, 2017 08:00
by 『Security Affairs』

Palo Alto Networksのマルウェア研究者らが、中東で政府機関への標的型攻撃に利用されている新種のランサムウェア「RanRan」を発見した。

「ユニット42が最近、以前には見られなかったランサムウェアファミリーを用いた中東の政府組織への攻撃を検知した。我々はマルウェアに埋め込まれた文字列からこのマルウェアを『RanRan』と名付けた」とPaloAlto Networksが発表した解析レポートにて説明されている。

ファイルを解読するために身代金を要求する代わりに、攻撃者は被害者にウェブサイトで政治的発言をするよう求めている。

RanRanは、感染したシステムに保存されているドキュメントや実行ファイル、ログ、データベース、アーカイブ、ソースコード、画像、動画ファイル等の様々な種類のファイルを暗号化することができる。ランサムウェアが暗号化したファイルには「.zXz」拡張子が付けられ、標的システムのファイルの復元方法の指示が入ったHTMLファイルが追加される。

被害者は「ファイルへの予期せぬ被害」を回避するために、システムをシャットダウンしたり、何らかのアンチウィルス手法を実行しないよう指示される。RanRanの背後にいる犯罪者らは、被害者に自分たちのウェブサイトに政治的な名前のサブドメインを作成するよう指図する。

また被害者は「Hacked!」というテキストメッセージと攻撃者のメールアドレスを含む「Ransomware.txt」というファイルをアップロードするよう指示される。

「この脅迫文は特に、中東の政治指導者に対する暴力を支持・扇動しているように見える名前のパブリックなサブドメインを被害者に作成させ、政治的声明を強要しようとする」と解析レポートは続ける。

Palo Alto Networksによると、目的は被害者にハックを公開させ、その国のリーダーに対する声明を発表させることのようだ。Palo Alto Networksは標的となった組織の名前を明かさず、また攻撃者を特定もしていない。

「このような行為によって、被害者である中東の政府組織に、国のリーダーに反対する政治的発言を行わせる」とPalo Alto Networksの研究者らは話す。「また被害者は、ランサムウェア『.txt 』ファイルをホストすることで自分たちがハックされたことの公表を強いられる」

マルウェアの解析によって、RanRanは、誰でも利用できるソースコードをベースとしてらしいことがわかった。またこの脅威は高度なものではなく、ファイル暗号化機能の実装での間違いも見られる。レポートでは以下のように述べられている。「マルウェア自体はかなり初歩的なもので、ファイルの暗号化方法において複数のミスを犯している。このためユニット42は、RanRanが暗号化した一部のファイルの解読が可能なスクリプトを作成することができた」
「(ミスの)一例として、彼らは共通鍵暗号(RC4)を使用し、鍵を再利用している。さらには一部のファイルは、暗号化されるがオリジナルは削除されない。これは様々な理由があるが、システムファイルや、実行中のプロセスによって開かれているファイルを暗号化しようとしていることも理由の一つである」

暗号化プロセスにおける失敗のおかげで、RanRanの被害者は特定の状況下で一部のファイルを解読することができるというのは朗報だ。

「暗号化されたファイルのオリジナルがあり、別の暗号化ファイルに対してRC4鍵が再利用されるという状況から、我々は一部のデータを解読することができる」と解析レポートは続ける。これは、下記の条件を満たす特定の場合にのみ有効だ。
 
・暗号化ファイルと非暗号化ファイルは、特定のファイルサイズグループ(0〜5MB、5〜30MBなど)である必要がある。これらの2つのファイルを使用れば、RC4ストリーム暗号を入手することができる。
・残りの暗号化ファイルのサイズは、先に入手したストリーム暗号よりも小さくなければならない。ファイルのサイズが大きければ、部分的にしか解読できない」
 
翻訳:編集部
原文:Middle East Government organizations hit with RanRan Ransomware
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…