3AM という新たなランサムウェア：LockBit の代替えとして攻撃を成功させる

When LockBit Ransomware Fails, Attackers Deploy Brand-New ‘3AM’

2023/09/14 DarkReading — ある建設業に対する最近の攻撃では、標的とするネットワーク上で LockBit の実行に失敗したハッカーが、未知のランサムウェアを二番手として展開することに成功したという。この新しいツールの機能として挙げられるのは、ホスト・コンピューター上のファイルをロックする前に、各種のサイバー・セキュリティやバックアップ関連のソフトウェアをブロックするという、どちらかというと標準的なものだ。

しかし、３AM という、不眠症／筋金入りの夜更／ブラック・ハッカーなどを想起させる時間帯という、独自のテーマで存在を際立たせている。

今週に発表された報告書の中で Symantec の研究者たちは、3AM が初めて使われたことを報告している。同社の Principal Intelligence Analyst である Dick O’Brien は、「攻撃者が複数のランサムウェア・ファミリーを使用するという事態は、今回が初めてのことではない。ユーザー組織は、このようなことが起こることを予期しておく必要がある」と、警告している。

いま午前３時：あなたのファイルは何処へ行った？

標的ネットワークに侵入した脅威アクターは、直ちにユーザー情報を収集し、データ獲得のためのツールをデプロイし始めた。たとえば、初期段階では Cobalt Strike がデプロイされ、リモート・コマンド・ツール PsExec を介した権限昇格が試みられている。

続いて、whoami (ユーザー名を表示) や、netstat (ネットワークステータスを表示) などの偵察コマンドが実行され、横移動に使用できる他のサーバのリストアップと、永続化の目的とする新たなユーザーの追加が行われた。そして、Wput ユーティリティを使って、脅威アクター の FTP サーバへと、被害者のファイルはアップロードされていった。

この時点で攻撃者たちは、すべてが整った状態にあり、最新の Ransomware-as-a-Service である LockBit が展開されるはずだった。攻撃者にとって不運だったのは、標的のサイバー・セキュリティ保護が、LockBit の展開を完全にブロックしていたことだった。

しかし、被害者にとって不運だったのは、攻撃者が第２のサイバー兵器 “3AM” を手にしていたことだった。このマルウェアは、暗号化されたファイルに “.threeamtime”という接尾辞を付け、身代金要求のメモで ３AM に言及していることから、この名前が付けられた。

そこには、「午前３時は神秘主義の時間。不思議なことに、あなたのファイルは全て暗号化され、システムは生命の兆候を示さず、バックアップは消えている。しかし、我々は非常に迅速に修正し、すべてのファイルとシステムの操作を元の状態に戻すことができる」と記されている。

疲弊したアンチウイルスを捕捉するマルウェア

ただし、この注意書きに比べて、マルウェア自体では、それほど創造性は発揮されていない。

3AMは、Rust で書かれた 64 Bit の実行ファイルである。Rust は、ハッカーや防衛者の間で人気が高まっているプログラミング言語である。このマルウェアは、ホスト・マシンのセキュリティおよび、バックアップ関連ソフトウェアを停止させるための長いリストを持っている。そして実施される作業の内容は、ディスク・スキャンであり、指定された種類のファイルの特定／暗号化および、身代金メモのドロップ、VSS (Volume Shadow) バックアップ・コピーの削除などである。

最初のデプロイでは、攻撃者は３台のマシンに 3AM を展開したが、そのうちの２台でブロックされている。しかし、侵入に成功した３台目は、LockBit でも侵入できなかったものだ。O’Brien は、「3AM が強力だというより、Lockbit のように知られていなかったことで、上手くいったのだろ。ハッカーは、侵害したマシンから機密データを盗んだと主張しているが、Symantec では確認していない」と述べている。

O’Brien は、「２つのランサムウェアの場合も含めて、１つのランサムウェアを阻止する場合であっても、深層防御が最善の戦略である。ランサムウェア攻撃は多段階の作戦であり、組織はペイロードのブロックだけに集中するのではなく、潜在的な攻撃の、すべての段階に対処すべきである」とアドバイスしている。

多層化しているランサムウェア攻撃の、いまの状況がよく分かる記事ですね。この攻撃の実行犯が、Lockbit だけしか手にしていなければ、攻撃に失敗したはずです。しかし、プラン B として ３AM を持っていたことで、彼らは目的を達成しました。今後は、このようなケースが増えるかもしれませんね。よろしければ、カテゴリ Rasomware も、ご利用ください。