Trickbot ボットネットと Diavol ランサムウェアの関係性は?

Trickbot cybercrime group linked to new Diavol ransomware

2021/07/01 BleepingComputer — FortiGuard Labs のセキュリティ研究者は、Diavol という名の新しいランサムウェアの系統を、Trickbot ボットネットを開発した Wizard Spider という、サイバー犯罪グループに結びつけた。Diavol と Conti ランサムウェア・ペイロードは、2021年6月初旬に Fortinet の EDR ソリューションがブロックしたランサムウェア攻撃において、異なるシステム上に展開されていた。

この2つのランサムウェア・ファミリーのサンプルは、ファイル暗号化のキューイングに非同期 I/O 操作を使用していることや、同じ機能 (ログ取得、ネットワーク共有の暗号化、ネットワーク・スキャンなど) において、ほぼ同一のコマンドライン・パラメータを使用していることから、同じファブリックら作られている。しかし、こうした類似点にもかかわらず、いくつかの重要な違いがあるため、Diavol と Trickbot との間には、直接的なつながりを見出すことはできなかった。

たとえば、Diavol ランサムウェアには、ロシア語ベースのシステムを攻撃から除外するための、Conti のようなチェック機能が組み込まれていない。また、ランサムウェア・ギャングが二重に恐喝するために使用する、暗号化の前にデータを流出させるという機能の証拠もない。Diavol ランサムウェアの暗号化手順では、ユーザーモードによる Asynchronous Procedure Calls (APC)  と Asymmetric Encryption Algorithm が用いられる。

他のランサムウェア・ファミリーでは、対称的なアルゴリズムを用いて暗号化プロセスを高速化するのが一般的だが、この点においても違いがある。また、Diavol では、パッキングや逆アセンブル防止のトリックを用いられないため、難読化に長けているというわけではないが、主要ルーチンをビットマップ画像内に格納することで解析を困難にしている。このランサムウェアが、感染したマシンで実行されると、画像の PE リソース・セクションからコードを抽出し、実行権限のあるバッファ内にロードしていく。抽出されたコードは 14種類のルーチンで構成され、以下の順序で実行される。

・標的者の識別子の作成
・設定の初期化
・C&C サーバーへの登録と設定の更新
・サービスとプロセスの停止
・暗号化キーの初期化
・暗号化するドライブの検索
・暗号化するファイルの検索
・シャドーコピー削除による復元防止
・暗号化
・デスクトップの壁紙の変更

Diavol ランサムウェアの処理が完了される直前に、暗号化された Windows デバイスの背景が黒い壁紙に変更され、All your files are encrypted! For more information see README-FOR-DECRYPT.txt というメッセージが表示される。Fortinete は、「現在のところ、侵入の原因は不明だ。攻撃者が使用したパラメータと、ハードコードされたコンフィグレーションのエラーは、Diavol が新しいツールであり、攻撃者が完全に使い慣れていないこと示唆している」と述べている。

Wizard Spider がロシアを拠点とする金銭目的のサイバー犯罪グループであり、侵入したシステムやネットワークに第二段階のマルウェアを投下するために、Trickbot ボットネットを運用していると、この記事は指摘しています。Trickbot は、エンタープライズ・ネットワークを介して増殖するため、とても危険な存在となります。ドメイン・コントローラの管理者権限を取得すると、Active Directory データベースを盗み出し、ネットワーク認証情報を収集します。

TrickBot グループの活動は、2018年の夏に Ryuk ランサムウェアを使い始め、2020年には Conti ランサムウェアに切り替えながら、エンタープライズ・ネットワークを標的にしています。なお、Trickbot の開発者は、ステルス性の高いバックドア BazarLoader の展開を、2020年4月の攻撃から開始しています。このツールは、ランサムウェアのペイロードを展開する前に、エンタープライズ・ネットワークを侵害して、フル・アクセスを得るために設計されたものとのことです。

%d bloggers like this: