サイバーブリッジ株式会社の久保田です。
一世を風靡した(?)ランサムウェアですが、最近では少し落ち着きを見せている感がありますね。

しかし、依然として高い水準で被害事例も出ています。落ち着いたり、慣れてきたときに被害にあうケースもありますので、改めて注意が必要ですね。

さて、先日マイナーに関するご紹介をさせていただきました。実は、この動向に沿った動きを見せるランサムウェアが存在するのです。

インストールするコンポーネントをデバイスに応じて選ぶ?

ランサムウェア「Rakhni」は、攻撃に使用するコンポーネントの一つとして、仮想通貨マイニングモジュールを加えました。

ダウンローダー型のトロイの木馬である「Rakhni」は、相手の端末に応じてインストールするコンポーネントを自ら選択します。

これは非常に興味深いですね…。簡単にいうと、「この端末は仮想通貨のマイニングに使えそうだ!」と判断した場合は、「マイニングウイルスを入れてしまえ!!」となるわけです。

感染ルート

主にスパムメールから

セキュリティ会社のカスペルスキーによると、現在は主に、ロシア・カザフスタン・ウクライナ・ドイツ・インドで「Rakhini」を検知してるようです。

マルウェアはメールに添付された悪意のある実行ファイルとして拡散されます。主に金融系の文書になりすましています。これは「Rakhini」の背後にいるサイバー犯罪者が、企業関係者を主要なターゲットとしていると推測できます。

スパムメールに添付されているファイルの中に、PDFファイルがあります。編集を許可してPDFファイルを開こうとすると、発行元不明の実行ファイルを実行する許可を要求するシステムメッセージが表示されます。これを許可すると、「Rakhni」が動き出します。

マイニングさせるか暗号化を選択

選択基準はシンプルな2択

仮想通貨のマイニングをするか、ファイルを暗号化して身代金を要求するか。選択基準はシンプルです。

標的のコンピューターに「Bitcoin関連」のフォルダが存在すれば、「Rakhni」はファイル(Office文書、PDF、画像、バックアップなど)を暗号化するランサムウェアのモジュールをダウンロードして実行し、3日以内の身代金支払いを要求します。金額など身代金の詳細はメールで送る。とされています。*これは以前、に流行した身代金ウイルスと変わりはありません。

ここに新たな選択肢が加わる

デバイス内に「Bitcoin関連のフォルダ」が存在せず、そのデバイスが仮想通貨のマイニングに十分なパワーを備えていると判断された場合は、仮想通貨マイナーがダウンロードされます。マイナーは、バックグラウンドでひそかにMonero、Monero Original、またはDashcoinのトークンを生成し、活動を開始します。

この段階で、端末のCPUが利用され、マイニングに加担することになります。「パソコンが重い」「急にファンが回り出す」といった症状が見受けられた時は、注意が必要です。

被害を受けないためには?

受信メールには注意

「Rakhni」は、悪意あるファイルが添付されたメールから感染しますので、受信したメールには注意を払いましょう。特に、見覚えのないメールアドレスから送られたメールは、十分に警戒してください。

添付ファイルを開くべきかどうか少しでも迷う場合は、開かないでください。

個人では判断がつけられないケースや不安な場合は、CheckPointSandBlastAgent」などの外部ツールなどに頼るのも選択肢の一つでしょう。

また、OSが警告メッセージを表示したら内容を確認し発行元が不明なアプリケーションは極力実行しないようにしましょう。

特に、よく使われているアプリケーションと似た名前が付いたアプリケーションの場合は注意が必要です。

日頃からの対策が重要

トレーニングと情報の共有

まずは、日々のセキュリティ意識を高めるために、セキュリティ情報の共有トレーニングを行うことが大切です。「うちの会社は大丈夫だよ!」といった慢心が、一番危険です。セキュリティ対策に関する意識を高めていくことが必要となります。

バックアップ

これはよく言われることで、多くの方が既に行っていると思いますが、「重要データのバックアップ」はセキュリティインシデントが発生した時に役立ちます。

ネットワークに接続されていない、独立したストレージメディアに保存することを意識しましょう。

定期的なセキュリティスキャンの実施

パソコン端末等にインストールされている、セキュリティソフトを活用して、定期的なスキャンを実行することをおすすめします。

ソフトは様々なものがありますが、ふるまい分析機能などを備えた、実績のあるものが望ましいです。

企業ネットワークの定期チェック

ネットワークの定期チェックもとても重要です。

  • 通常と比べて、通信量に異常が見受けられないか
  • セキュリティログに異常は見受けられないか
  • C&Cサーバ等、外部とのセッションは見受けられないか

定期的なネットワーク側のチェックも大切です。

最新化

メールからの感染経路がほとんどなので、今回は直接関係ありませんが、OSなどの各種ソフトウェアは常に最新の状態を保っておきましょう。