インクの染みがさまざまな形に見えるロールシャッハテストのように、見る人ごとに異なって見える新しく巧妙なランサムウェアを発見し、注意喚起
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)と、チェック・ポイント インシデントレスポンスチーム(Check Point Incident Response Team、以下CPIRT < https://www.checkpoint.com/support-services/threatcloud-incident-response/ > )は、新しくかつより巧妙な無名のランサムウェア株について注意喚起しました。チェック・ポイントのリサーチャーが「Rorschach(ロールシャッハ)」と名付けたこのランサムウェアは、アメリカに拠点を置く企業への攻撃に使用されました。
ハイライト
-
CPRとCPIRTはアメリカを拠点とする企業を標的に攻撃を展開する無名のランサムウェアを検出、「Rorschach」と名付けました。
-
Rorschachは従来のランサムウェアには見られないユニークな技術的特徴を備え、高度なカスタマイズが可能、かつこれまで観測されたランサムウェアの中で最も高速な性能を持つものの一つです。
-
RorschachはPalo Alto Networks社の署名付きセキュリティ製品であるCortex XDRのDLLサイドローディングを利用して展開されています。この手法はランサムウェアのロード方法としては一般的にはあまり使用されません。なお、この情報はPalo Alto Networks社に対し適切に開示されています。
人によって見えるものが異なるランサムウェア
このRorschachが他のランサムウェア株と一線を画すのは、高度なカスタマイズ性と、これまでのランサムウェアにないユニークな技術的特徴を備えている点です。事実、暗号化のスピードにおいて、Rorschachはこれまで観測された中で最も高速なランサムウェア株の一つです。
Rorschachは、署名入りの商用セキュリティ製品であるPalo Alto Networks社のCortex XDR Dump Service ToolのDLLサイドローディングを利用して展開されていました。このサイドローディングというロード方法は一般的にランサムウェアのロードには使用されていないため、サイバー犯罪者が検知回避のためにとった新たな手法が明らかになりました。このRorschachの展開を可能にした脆弱性は、Palo Alto Networks社へ適切に開示されています。
Rorschach発見の経緯
CPIRTは、アメリカに拠点を置く企業へのランサムウェア攻撃事例に対応する中で、Palo Alto Networks社のセキュリティ製品であるCortex XDRの署名付きコンポーネントを使用して展開されたユニークなランサムウェア株に遭遇しました。他のランサムウェアによる事例と異なり、この脅威アクターはエイリアスによって身元を隠すこともなく、また既知のランサムウェアグループに属してもいませんでした。この2つの事実はランサムウェアのエコシステムにおいては稀であり、CPRの注意を惹き、新たに発見されたこのマルウェアに対する徹底的な分析に繋がりました。
ランサムウェアの中でも未曾有のスピードと珍しい機能
分析の結果、この新たなランサムウェアはユニークな特徴を示しました。行動分析によるとこの新型ランサムウェアは一部自律的に動作し、ドメインコントローラ(DC)上で実行された場合、感染したマシンのイベントログを消去しつつ自動的に拡散します。さらに極めて柔軟性が高く、元来組み込まれていた設定に基づいて動作するのみならず、多数の任意の引数に基づき、操作者のニーズに応じて動作を変化させられます。いくつかの悪名高いランサムウェアファミリーからインスピレーションを得ていると見られる半面、直接システムコールの使用など、ランサムウェアで見られることが稀な独自の機能も備えています。
被害者に送られたランサムノートのフォーマットはYanluowangランサムウェアと類似する一方、亜種ではよりDarkSideランサムウェアに近いフォーマットが使用されていました(このため一部ではDarkSideとの誤認 < https://asec.ahnlab.com/en/47174/ > を招きました)。このランサムウェアを検分する人が皆少しずつ異なったものを目にすることから、有名な心理テストにちなみ、「Rorschach(ロールシャッハ)」ランサムウェアと名付けました。
(以下、上図内ランサムノートの日本語訳)
解読ID:(――)
こんにちは。これを読んでいるあなたは既にハッキングされています。
我々はシステムをすべて暗号化してバックアップを削除し、機密情報をダウンロードしました。
以下は、禁止事項です:
1) 取引完了前の警察やFBI、その他当局への接触。
2) 我々との交渉に関するリカバリー業者への依頼(これは復旧の遅れを招き、多くの場合我々とのコミュニケーションを無効にします)。リカバリー業者への依頼はやめておくことです。彼らの本質はただの仲介人であり、あなたにお金を払わせ、騙すだけの存在です。我々がよく知るケースとして、リカバリー業者が500万ドルの身代金が必要と言いながら我々と秘密裏に100万ドルで交渉し、400万ドルを騙し取るような例もあります。仲介業者を介さず直接やり取りすれば、支払う額は5分の1の100万ドルです。
3) ファイルの解読を自力で試みたり、拡張子を変更したりしないこと!!! 復号化が不可能になる可能性があります。
以下は、これを読んだら即座に実行すべきことです:
1) あなたが一般の従業員の場合、会社のCEOやIT部門に我々のメッセージを送ること。
2) あなたがCEOやIT部門スペシャリスト、その他重役の場合は、24時間以内にメールで我々に連絡すること。
身代金を支払わなければ、会社が将来的に再び攻撃を受けることになります。我々は数週間以内に、ひたすら攻撃を繰り返してネットワークから全データを削除します。データは二度と使い物になりません!
こちらがファイルを復号化できることの保証として、いくつかのファイルを送付すれば無料で復号化します。
連絡用メールアドレス(メッセージ件名の解読IDを記載すること):
1)――
2)――
Rorschachに関する分析の全文は、research.checkpoint.comでご覧いただけます。
チェック・ポイントのお客様への保護はRorschachランサムウェアに対しても万全です
Harmony Endpoint < https://www.checkpoint.com/harmony/advanced-endpoint-protection/ > は、ランサムウェアに対するランタイムプロテクションを提供し、オフラインモードでも即座に自動修復を行います。ランサムウェアによる異常が発生した場合、Harmony Endpointのアンチランサムウェア < https://www.checkpoint.com/solutions/ransomware-protection/anti-ransomware/ > とBehavioral Guard機能が攻撃チェーン全体を特定、ブロックし修復します。
Rorschachランサムウェアに感染したマシン上でHarmony Endpointを実行したところ、アンチランサムウェア機能がHarmony Endpointのハニーポットファイルを含む、異なるフォルダでの暗号化処理を検出しました。Harmony Endpointは評価アルゴリズムを実行し、ランサムウェアによるプロセスを特定するための判断を提供しました。
攻撃ツリープロセスが割り出され、Harmony Endpointがすべての悪意あるプロセスを遮断し、攻撃をブロックしました。その後、修復コンポーネントが悪意あるプロセスを含むすべての暗号化ファイルを削除し、システムバックアップを使用して元の状態を回復しました。
攻撃に関する調査を支援するため、Harmony Endpointは攻撃ツリーや完全なMITREマッピングを含む情報を完備したフォレンジックレポートを提供します。
このフォレンジックレポートが示すように、Harmony Endpointは攻撃を検知、ランサムウェアとして分類し、すべての悪意あるプロセスを100%遮断しました。修復の際には影響を受けたファイルの100%を削除または隔離し、元の状態を回復しました(ハニーポットファイルを除く)。
これらの機能により、事業の継続に影響を与えることなく攻撃をブロックできます。
Harmony Endpointのアンチランサムウェア機能は、高度なボリュームベースの暗号化やワイパー攻撃などの様々なランサムウェア攻撃に対する、さらに高度な機能を提供します。また、正規ツールがランサムウェアのエージェントとして悪用されることを防ぎます。
Harmony Endpoint < https://www.checkpoint.com/harmony/advanced-endpoint-protection/ > を活用し、ランサムウェアに対するエンドポイント保護を実現してください。プライベートデモ < https://pages.checkpoint.com/harmony-endpoint-request-demo.html > のご予約や無料体験 < https://pages.checkpoint.com/harmony-endpoint-trial.html > の開始はいつでも可能です。
本プレスリリースは、米国時間2023年4月3日に発表されたブログ(英語) < https://blog.checkpoint.com/research/what-do-the-inkblots-tell-you-check-point-researchers-unveil-rorschach-previously-unseen-fastest-ever-ransomware/ > をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel:03-4405-9537 Fax:03-4332-2354
E-mail: checkpointPR@next-pr.co.jp