ランサムウェア

CryptoBit: 新たなランサムウェア ファミリが更新される

Clock Icon 2 min read

This post is also available in: English (英語)

概要

2016年4月、Panda Securityがエクスプロイト キット(EK)トラフィックを介して拡散するCryptoBitという名のさらに新たなランサムウェアのファミリを公表しました。2016年6月、私たちはCryptoBitランサムウェアの更新版がRig EKによって送信されたことに気付きました。

6月23日および6月24日に、この攻撃活動ではドメイン名realstatistics[.]infoの付いたゲートが利用されましたが、このドメイン名はRig EKを指していました。脆弱性のあるWindowsホストがこのトラフィックに遭遇した場合、Rig EKがCryptoBitランサムウェアを配信してそのコンピューターを感染させました。別の情報源ではこのランサムウェアに対して違う表現を使っており、一部ではCryptobitではなく「CriptoBit」または「Mobef」と呼んでいます。

図1: このEKによるCryptoBit感染のフローチャート
図1: このEKによるCryptoBit感染のフローチャート

感染トラフィック

6月23日(木)、私たちは図2に見られる感染トラフィックを発生させました。

図2: Rig EKを介したCryptoBit感染を目的とするトラフィック(2016年6月23日)
図2: Rig EKを介したCryptoBit感染を目的とするトラフィック(2016年6月23日)

さらに6月24日に類似の感染を発生させました。セキュリティ侵害の痕跡(IOC)は以下のとおりです。

  • 85.25.95[.]39 – realstatistics[.]info – Rig EKを指すゲート
  • 5.61.37[.]139 – kjyrxilohcowy.dyndns[.]org – Rig EK (2016年6月23日)
  • 5.61.32[.]163 – smobutdobesy.dyndns.org[.]org – Rig EK (2016年6月24日)
  • 58.64.142[.]89 – laoismacau[.]com – 感染後にCryptoBitから生じたトラフィック

ゲートはスクリーンの解像度とタイムゾーンを確認してから、Rig EKへの誘導用iframeを伴うjavascriptを返しました。

図3: ゲート ドメインに対する最初のHTTP要求
図3: ゲート ドメインに対する最初のHTTP要求
図4: ゲート ドメインに対する2番目のHTTP要求
図4: ゲート ドメインに対する2番目のHTTP要求

Rig EKトラフィックには2015年5月以降それほど大きな変更はありません。2015年5月において、Rig EKトラフィックはペイロード難読化からペイロード バイナリのASCII文字列によるXOR演算処理へと切り替わりました。この感染において、Windowsホストには古いFlashプラグインに起因する脆弱性がありました。

図5: Flashエクスプロイトを送信中のRig EK
図5: Flashエクスプロイトを送信中のRig EK
図6: マルウェア ペイロードを送信中のRig EK
図6: マルウェア ペイロードを送信中のRig EK

CryptoBitに関する感染後のトラフィックには偽のuser-agentがHTTPヘッダーに含まれていますが、コールバック活動を正規のWebトラフィックに見せかけるための偽のreferrer行も含まれています。

図7: CryptoBitランサムウェアにより発生した感染後のトラフィック
図7: CryptoBitランサムウェアにより発生した感染後のトラフィック

感染したWindowsデスクトップ

感染後、図8で示すように、感染したホストのデスクトップ上にウィンドウが突然現れました。

図8: CryptoBit感染直後のWindowsホストのデスクトップ
図8: CryptoBit感染直後のWindowsホストのデスクトップ
図9: CryptoBitの復号化に関する指示(拡大画像)
図9: CryptoBitの復号化に関する指示(拡大画像)

このウィンドウを動かすことはできませんでした。ホストを再起動するとこのポップアップ ウィンドウは消えましたが、復号化に関する同じ指示を内容とするテキスト ファイルがデスクトップ上に残りました。キー ファイルについてもお伝えします。今までのところ、私たちはHITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23およびHITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24のような名前のキー ファイルを確認しております。

図10: 再起動後のWindowsデスクトップ(2016年6月23日以降)
図10: 再起動後のWindowsデスクトップ(2016年6月23日以降)
図11: 別の感染後のWindowsデスクトップ(2016年6月24日)
図11: 別の感染後のWindowsデスクトップ(2016年6月24日)

復号化に関する指示にあった電子メール アドレスは以下のとおりでした。

  • epiclesis[at]protonmail.ch
  • kyklos[at]lelantos.org
  • kyklos[at]scryptmail.com
  • malakia[at]anoninbox.net
  • malakia[at]openmailbox.org
  • sycophant[at]sigaint.org

復号化に関する指示にあったbitmessage.orgのアドレスは次のとおりでした。

  • BM-NAxZ29ouecw2Y7ibaXKus1vxDRDfheW6

結論

6月27日現在、この攻撃活動は別のマルウェアの配信を開始しています。しかし、6月17日から6月27日までの間、私たちはこの最新版CryptoBit亜種に関して少なくとも8個のサンプルが58.64.142[.]89上のlaoismacau[.]comと通信していることに気付きました。これらのサンプルに関するSHA256ハッシュは以下のとおりです。

  • 2477db8c1a6882212921ce396d85964d182f9993a0786fb7ccc497b0af78fd3b
  • 4eb75511b34cc276251dff1007328477836da59458e1f89c607c2590fe2ebdaf
  • 5351c106e578453993d20b10bd71301c831a2a0cea3aa45d911fde7a94b9247a
  • 642a3067a35348a833e82e7c08eb53c27f6d2bc68c61bc6e81f135e9927969c7
  • 6cb7ceca202fccbb8592728b030127eff7a5661b80131d2a40dc637b76d82fa8
  • 8fe6b7f52033794d97aa58605ba3eb306c537abeeaf6d14f45ba3204bf112f70
  • 90e1ea707f97105a99cd7e960fc26deb91aba68f50ec80e40bf915822c4e3998
  • bd7e11ecdf7308a4173bdaff82b38c2fba47939ac0356a1878a52fff203656ab

Palo Alto Networksのお客様は、次世代セキュリティ プラットフォームを通じて、Rig EKおよびCryptoBitランサムウェアから保護されています。WildFireがCryptoBitファイルを悪意のあるものとして検出しますので、AutoFocusのユーザー様はCryptoBitタグで識別することができます。

Tags

目次

関連記事

関連項目 ランサムウェア リソース

category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
A pictorial representation of RA World ransomware group. A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon脅威リサーチ

RA Group から RA World へ: ランサムウェア グループの進化
今すぐ読む Right arrow
category icon脅威リサーチ

2024 年 ランサムウェア振り返り: Unit 42 によるリーク サイト分析
今すぐ読む Right arrow
category icon主なサイバー脅威

脅威の評価:BianLian ランサムウェア
今すぐ読む Right arrow
A digital illustration of a glowing red padlock symbol superimposed over a detailed circuit board background, emphasizing themes of cybersecurity and data protection. The image features vibrant red and blue lights to highlight the technological context.
category icon脅威リサーチ

見た者のファイルを石に変える: Medusa ランサムウェア
今すぐ読む Right arrow
A digital illustration of a laptop with cybersecurity imagery including a padlock hologram, surrounded by stacks of coins and a credit card, emphasizing financial security. The setting is illuminated in blue, pink, and purple tones.
category icon脅威リサーチ

BlackCat に新たな戦術: VM と Alpine Linux の採用でセキュリティ対策を回避
今すぐ読む Right arrow
A digital illustration of a glowing red padlock symbol superimposed over a detailed circuit board background, emphasizing themes of cybersecurity and data protection. The image features vibrant red and blue lights to highlight the technological context.
category icon脅威リサーチ

CL0P^_- めざせシード マスター!
今すぐ読む Right arrow
A digital illustration of a laptop with cybersecurity imagery including a padlock hologram, surrounded by stacks of coins and a credit card, emphasizing financial security. The setting is illuminated in blue, pink, and purple tones.
category icon脅威リサーチ

ランサムウェア配布は URL が主流に: 主要なキャンペーンとその傾向
今すぐ読む Right arrow
A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon主なサイバー脅威

脅威グループの評価: Mallox ランサムウェア
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow