ランサムウェア

ランサムウェアの脅威評価:『2021 Unit 42ランサムウェア脅威レポート』の手引き

Clock Icon 7 min read

This post is also available in: English (英語)

脅威の評価:Defray777ランサムウェア

概要

Defrayは2017年に最初に発見され、ユーザーをだましてMicrosoft Word文書などの悪意のあるファイルをダウンロードさせる、小規模で的を絞ったフィッシングキャンペーンを介して伝播することが確認されています。Defray 2018、Target777、Ransom XRansomEXXともよばれるDefray777は、Defrayよりはるかに洗練され、2018年からアクティブです。この新しいマルウェア亜種は、それまでにはない技術を使って検出されにくくすることが確認されており、Sprite SpiderGOLD DUPONTと呼ばれる脅威グループに帰属します。

Defray777ランサムウェアの概要

Conceptual image representing Defray777 ransomware as part of the ransomware threat assessments companion to the 2021 Unit 42 Ransomware Threat Report.

2020年のDefray777ランサムウェアは、フィッシングキャンペーンなどの一般的ランサムウェア攻撃ベクトルを使わず、VatetローダやPyXie RAT、Cobalt Strikeなどのツールと連携して、複数の組織に対し、少数の標的型攻撃によって配信されました。

図1 Defray777身代金メモのスクリーンショット
図1Defray777身代金メモのスクリーンショット

Defray777は完全にメモリ内で実行される点に特徴があり、セキュリティリサーチャーに追跡されにくいものになっています。Defray777はその実行中、特定の「望ましくない」スレッドやプロセスを強制終了する機能を備えています。この対象となるのはpowershell.exe、rundll32.exe、vmnat.exe、wefault.exeexplorer.exeなどです。暗号化処理中の検出を避けるため、システムのコアとなる機能に影響を与えることなくAES-256暗号でファイルを暗号化する機能をもち、暗号化の完了後にのみコマンドを実行します。このため、EDRプラットフォームなどのセキュリティツールがDefray777の悪意のあるアクティビティを警告できるようになるころには、ファイルはすでに暗号化されてしまっています。2020年、Defray777は最近の移植を通じてWindowsプラットフォームだけでなくLinuxも対象とするように進化し、WindowsとLinuxの両方でスタンドアロンの実行可能ファイルを持つ最初のランサムウェアになりました。これにより脅威アクターは、VMWare ESXI サーバーのようにELFバイナリを実行できるインフラストラクチャに対してDefray777を活用できるようになりました。

2020年、Defray777の脅威アクターは、米国、カナダ、オーストラリア、日本、フランス、ブラジルのヘルスケア、教育、製造、政府、建設、エンジニアリング、ハイテクセクタを標的にしていました。身代金の要求額は通常、その特定の被害者ごとに調整されます。

詳細な分析は、「知られざるマルウェアファミリ、Vatet、PyXie、Defray777 の詳細」に公開済みですのでこちらからご確認ください。

Defray777の被害者学の詳細については、2021 Unit 42ランサムウェア脅威レポートを参照してください。

行動方針

このセクションでは、Defray777のアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。また、お客様にてデバイスの構成が正しく行われているかどうかを確認する方法についてもご説明します。

製品/サービス 行動方針
初期アクセス
以下の一連のアクションは、次のテクニックを緩和します。
Spearphishing Attachment [T1566.001](添付ファイル型スピアフィッシング)
NGFW ファイルブロックを設定します
脅威防御 imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
WildFire WildFireファイルサイズのアップロード制限が最大化されていることを確認します
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XDR マルウェア セキュリティ プロファイルを構成する
Cortex XSOAR XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
XSOAR プレイブックデプロイ - Endpoint Malware Investigation
初期アクセス、ラテラルムーブメント(横展開、水平展開)
以下の一連のアクションは、次のテクニックを緩和します。
Replication Through Removable Media [T1091](リムーバブルメディア経由の複製)
Cortex XDR デバイス制御を有効にする
特権昇格、防御回避
以下の一連のアクションは、次のテクニックを緩和します。
Process Injection [T1055](プロセスインジェクション)
Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
防衛回避、探索
以下の一連のアクションは、次のテクニックを緩和します。
Masquerade Task or Service [T1036.004](タスクやサービスのマスカレード)、
Process Discovery [T1057](プロセスの探索)
Cortex XDR マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します
影響
以下の一連のアクションは、次のテクニックを緩和します。
Data Encrypted for Impact [T1486](影響を与えるためのデータ暗号化)、
Inhibit System Recovery [T1490](システムの復元禁止)
Cortex XSOAR XSOARのプレイブックをデプロイ – Ransomware Manual for incident response
XSOARのプレイブックをデプロイ - Palo Alto Networks Endpoint Malware Investigation

表1 Defray777ランサムウェアの行動方針
†これらの機能は、NGFWセキュリティサブスクリプションサービスの一部です

結論

Defray777は、いかにランサムウェアファミリが時間の経過とともに進化し、まったく新しいやりかたで深刻な損害を与えうるのかを示す格好の例となっています。さらにこの新たな亜種の始まりは、脅威攻撃者が独自戦術を活用し、最新検出手法を回避することで、捕捉を回避できるということも強調しています。Linuxの例のように、このランサムウェアファミリが拡張され、さらに追加のプラットフォームに影響を与えるようになれば、今後さらに大きな影響を与えうる可能性があります。

パロアルトネットワークスはDefray777を次の方法で検出/防止します。

  • WildFire: 既知のサンプルはすべてマルウェアとして識別されます。
  • Cortex XDR:
    • Defray777のインジケータを含みます。
    • ランサムウェア対策モジュールでDefray777の暗号化の振る舞いを検出します。
    • ローカル分析・検出機能によりDefray777バイナリを検出します。
  • 次世代ファイアウォール: DNSシグネチャが既知のコマンド&コントロール(C2)ドメインを検出し、URLフィルタリングで同ドメインをマルウェアとして分類します。
  • AutoFocus: 関連アクティビティをDefray777の別名であるRansomXタグで追跡します。

Defray777 に関連する指標は、こちらのGitHubから利用可能です。Unit 42のTAXIIフィードにも公開済みです。

追加資料

トップに戻る

Tags

目次

関連記事

関連項目 リソース

category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A pictorial representation of RA World ransomware group. A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon脅威リサーチ

RA Group から RA World へ: ランサムウェア グループの進化
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow