チェック・ポイント脅威アラート:ランサムウェア「CryptXXX」

2016年3月にその存在が確認されたランサムウェア「CryptXXX」は、エクスプロイト・キット「Angler」とトロイの木馬「Bedep」を介して拡散します。マシン上のファイルを暗号化するこのランサムウェアは、復元するために身代金として500ドルを要求します。ただし、単一のファイルであれば無料で復号化に応じています。ターゲットには数日の猶予が与えられ、その間に身代金を支払わなければ金額は倍になります。CryptXXXを利用する攻撃グループは、ランサムウェア「Reveton」の背後に潜む攻撃グループと同一のようです。また、感染経路やコードにおける類似性により、この攻撃グループとAngler Exploit Kitのオペレータとの関連も疑われています。Kasperskyは4月26日、Windowsマシン用のファイル復号化ツールをリリースしました。ツールの実行ファイルは、同社のサポート・センターからダウンロードできます。

概要

  • CryptXXXが最初に検出されたのは2016年4月です。このマルウェアは、ダウンローダの機能を備えるBedepによる第2段階の感染用としてドロップされます。マシンへの感染には、今日広く利用されているエクスプロイト・キットAnglerが使用されます。
  • このランサムウェアは、実行を遅らせる能力を備えたDLLとして拡散します。62分間待機してから実行されるため、インシデントの感染源の特定が一層困難になっています。ちなみに実行の遅延は、仮想マシンの検出回避手法としても知られています。検出を逃れるために、実行を遅らせる時間をランダムに設定するのがその特徴です。続いて、感染マシン上で見つけたファイルを暗号化し、ファイル名に拡張子「.crypt」を追加します。
  • 感染に成功した後は、作成した3種類のファイル「de_crypt_readme.txt」、「de_crypt_readme.bmp」、「de_crypt_readme.html」を通じて、ファイルが暗号化されたことをターゲットに理解させます。これは「Locky」などの著名なランサムウェアと同様の手口です。
  • 暗号化に加え、CryptXXXは情報を窃取する能力も備えており、Bitcoinや認証情報などの重要データを盗み出します。この特性は、トロイの木馬Bedepが情報窃取型マルウェアのドロッパーとしても知られている事実とも合致します。Bedepは、2014年11月から2015年の終わりまで、情報窃取型マルウェアのPonyを拡散するために使用されていました。
  • 同じランサムウェアRevetonとCryptXXXの間には多くの類似点があります。どちらも、実行を遅らせたり、Delphiプログラミング言語を使用し、Bitcoinや認証情報を盗み出す特徴があります。
  • また、CryptXXXとAnglerおよびBedepには、背後に潜むグループの間に関連性が疑われています。この疑いは、攻撃経路とマルウェア名における類似性に基づいています。Anglerの実際の名称は「XXX」で、これはアンパックしたバイナリ内の2つの文字列「Z:\CryptProjectXXX\Loader\InstDecode.pas」と「Z:\CryptProjectXXX\Loader\DDetours.pas」で確認されました。

チェック・ポイントの保護機能

チェック・ポイントは、Anti-Bot Software BladeとAntivirus Software Bladeにより、CryptXXX、Reveton、Bedepからお客様を保護します。

  • Anti-Bot Software Bladeは、Bedepの既知指令(C&C)サーバに対する感染後レピュテーション・シグネチャとネットワーク・シグネチャを搭載しており、CryptXXX、Reventon、BedepとC&Cサーバとの通信をブロックします。
    • Trojan-Ransom.Win32.CryptXXX.A
    • Trojan.Win32.Reveton.E
    • Trojan.Win32.Reveton.F
    • Backdoor.Win32.Bedepshel.A
    • Trojan.Win32.Bedep.A
  • Antivirus Software Bladeは、CryptXXX、Reventon、Bedepに関連するファイルおよびBedepの拡散に使用される既知のドメインに対するシグネチャを搭載しています。

チェック・ポイントは、IPS Software Bladeにより、リダイレクト・チェーンの各段階でAnglerを介して拡散する攻撃からお客様を保護し、感染を未然に防ぎます。

チェック・ポイントでは、上述のIPS Software Bladeを有効にする際は、防止(Prevent)モードに設定することを推奨しています。

技術文献