ニュース
ランサムウェア「SamSam」被害総額は590万ドル以上に、警戒弱まる深夜や早朝を狙って攻撃
2018年8月24日 18:40
ランサムウェア「SamSam」による被害総額が2016年1月~2018年7月の間に590万ドルに上ることが、英SophosとNeutrinoの調査で分かった。
標的を慎重に選択、深夜・早朝に主に活動
SamSamは、攻撃のプロセス全体が手動になっており、JBossアプリケーションサーバーの脆弱性を悪用した攻撃や、リモートデスクトッププロトコル(RDP)に対する総当たり攻撃によってネットワークへのアクセス権限を取得する方法があるという。
SamSamにはワームやウイルスの機能はなく、単独では拡散できない代わりに、「PsExec」などの正規のWindowsネットワーク管理ツールと盗み出した認証情報を使用して、マルウェアを展開するという。攻撃者は標的とした企業や組織の警戒が最も弱まる深夜や早朝の時間帯を狙って、手動で攻撃を仕掛ける傾向があるそうだ。
これまで、SamSamの攻撃を受けた組織の74%が米国に拠点を置く企業であることが分かっており、英国(8%)、カナダ(5%)、オーストラリア(2%)、インド(1%)、中東(1%)などの地域も攻撃の影響を受けているという。
また、2018年7月19日までに身代金の一部を支払った犠牲者の数は233人と推定されており、被害者によって支払われた身代金の最大額は6万4000ドルに上るという。
攻撃対象組織の特定方法については判明していないが、攻撃者は脆弱なサーバーのリストをダークウェブで購入したり、IoT機器や脆弱なサービスを検索できるサービス「Shodan」「Censys」などを悪用している可能性があるとしている。
アップデートを繰り返して攻撃元を分かりにくく
SamSamの存在が認識されてから、3つのメジャーバージョンがリリースされていることが確認されており、そのほとんどは支払い用のサイトや身代金メモ、暗号化ファイルに追加された拡張子など、実務的な操作に関する変更が行われていたという。
例えば、攻撃者はベータテストの段階で、身代金の支払いに「anonymouse.com」でホスティングされたウェブサイトを使用していたが、バージョン1のリリース後は、無料で匿名のWordPressサイトを使用するように切り替えた。その数カ月後にはダークウェブに移動し、Tor.onionのアドレスで支払い用のサイトをホスティングするようになったという。
初期のバージョン以降、攻撃後に被害者のネットワークに残された身代金メモは、各被害者ごとに固有の内容になっていたという。身代金メモの内容の大半は、支払い用のサイトの一意のURLと、身代金を支払うための新しいビットコインアドレスが指定されているそうだ。
バージョン3では、ソフトウェアの整合性を保護し、攻撃元を分かりにくくするための機能が組み入れられていたという。例えば、ペイロードが暗号化され、アンチウイルスによる検出を回避するために更新回数を極めて少なくすることが可能になったそうだ。このバイナリは長期間にわたって攻撃に使用されており、ハードコーディングされたビットコインアドレスと「.onion」ドメインも、長期間にわたって多くの攻撃で使用されていたという。
アプリの実行に必要な構成ファイルやデータファイルも暗号化
被害者が身代金を支払った後、攻撃者は同日に複数の異なる口座にその金を振り込んでいるという。マネーロンダリングでは、1)ビットコインタンブラーに入れてランダム化した後で特定の口座に振り込む方法、2)匿名性の高い「Monero」のような別の仮想通貨にビットコインを変換する方法、3)ビットコインをダークウェブ市場で使用されたことのない新しい通貨に置き換えるミキサーを使用する方法――などがあるという。
SamSamは、他の多くのランサムウェアとは異なり、ドキュメントファイル、画像、その他の個人データや作業データだけでなく、アプリケーションの実行に必要な構成ファイルやデータファイル(Microsoft Officeなど)も暗号化するという。被害を受けた状態から復旧するには、ソフトの再インストールやOSバックアップからの復元が必要になる場合があるという。
SamSamへのセキュリティ対策としてSophosでは、ネットワーク全体で定期的な脆弱性スキャンとペネトレーションテストを実施することや、内部システムでの多要素認証を実施すること、デバイスやアカウントのアクセス・管理権限を最小限に抑えることを推奨している。