LockFile ランサムウェアは間欠的暗号化で防御ラインを突破する

LockFile Ransomware Bypasses Protection Using Intermittent File Encryption

2021/08/28 TheHackerNews — 先月に出現した新しいランサムウェア・ファミリーは、間欠的暗号化 (intermittent encryption) と呼ばれる新しい技術を利用することで、ランサムウェア対策を回避する独自のトリックを備える。この LockFile と呼ばれるランサムウェアの作者は、ProxyShell や PetitPotam といった、最近の脆弱性を悪用して Windows サーバーを危険にさらしているが、ファイルの 16 Bytes ごとにスクランブルをかけることでランサムウェア防御を回避する、ファイル暗号化マルウェアを展開していることが判明した。

Sophos の Director of Engineering である Mark Loman は、「部分暗号化という方式は、ランサムウェアの暗号化処理を高速化するために使用されるのが一般であり、BlackMatter、DarkSide、LockBit 2.0 などのランサムウェアに実装されている。LockFile の特徴は、他のランサムウェアと異なり、最初の数ブロックを暗号化しないことだ。その代わりに、LockFile は文書を 16 Bytes ごとに暗号化する」とステートメントで述べている。Loman は、「部分的にはテキスト文書のように読めるよう、ファイルの状態を維持することで、統計的にオリジナルのように見えることになる。このトリックは、暗号化を検出するために統計的分析を用いて、コンテンツを検査することに依存しているランサムウェア保護ソフトウェアに、勝利する可能性がある」と付け加えている。

Sophos における LockFile の分析は、2021年8月22日に VirusTotal にアップロードされた Artifact に由来している。このマルウェアに感染すると、Windows Management Interface (WMI) を介して仮想化ソフトウェアやデータベースなどの重要プロセスが終了させられ、重要なファイルやオブジェクトが暗号化され、LockBit 2.0 と様式的に類似したランサムウェア・ノートが表示されるという手順が踏まれる。

また、このランサムノートでは、「contact@contipauper.com」という特定のメールアドレスに連絡するように促されるが、これは競合するランサムウェア・グループ Conti を揶揄しているのと Sophos は捉えている。さらに、このランサムウェアは、マシン上の全ての文書の暗号化に成功した後に、システムから自分自身を削除する。つまり、インシデント対応者や、ウイルス対策ソフトウェアが発見/削除の対象とする、ランサムウェアのバイナリは存在しないことになる。Loman は、「防御側から提供できるメッセージとしては、サイバー脅威の状況は決して静止しておらず、敵対者は攻撃を成功させるために、あらゆる機会やツールを迅速に利用するということだ」と述べている。

今回の情報開示は、Hive と呼ばれる新たな Ransomware-as-a-Service (RaaS) を詳細に説明する Flash Report を、米国連邦捜査局 (FBI) が発表した際に行われた。この組織は、複数のメカニズムを使用して企業ネットワークを侵害し、データを流出させ、ネットワーク上のデータを暗号化し、復号化ソフトウェアへのアクセスと引き換えに身代金を徴収しようとする、複数の驚異アクターで構成されている。

このところ、LockFile が注目されているようです。 このブログでも、「LockFile ランサムウェアは PetitPotam 攻撃で Windows ドメインを乗っ取る」と、「LockFile ランサムウェアは ProxyShell 脆弱性を介して Microsoft Exchange を攻撃する」をポストしています。それにしても、間欠的暗号化 (intermittent encryption) とは、よく考えたものです。これまでのアンチウィルスの、静的なファイル・スキャンでは、もう追いつかないのでしょうか?

%d bloggers like this: