ランサムウェア

SamSaランサムウェア攻撃: 1年を振り返って

Clock Icon < 1 min read

This post is also available in: English (英語)

概要

今年3月、Unit 42はSamSa攻撃者について調査をしました。攻撃者は標的型ランサムウェアを使って健康医療産業を攻撃していました。このグループの活動が約1年間続いていたので、グループが使っているツールセットに変更があったとすれば、どのような変更だったのか判断するため、この脅威について再調査することにしました。調査を進める中、特定したサンプルから推定して、身代金の支払いが45万ドルとSamSaが荒稼ぎした年であったことが分かりました。本ブログ記事では、前回の考察以降にこのグループが行った変更およびSamSaマルウェア ファミリについて考察します。

マルウェア ツールセットの最新情報

過去12カ月間、Unit 42はSamSaマルウェア ファミリに属するものと特定したサンプルを収集し、重複を排除した60個について分析してきました。SamSaはLocky、Cerber、CryptoMixのような一般的なランサムウェア ファミリと比較して、全体的にサンプル数が非常に少なく限られています。これはSamSaが広範囲にわたるインターネット ユーザーを標的とするのではなく、特定の組織を標的としているためで、SamSaの特性のひとつにすぎません。

作成者たちが過去12カ月間に数多くの変更を行ったため、分析やリバース エンジニアリングが困難になりました。これらサンプルはすべて“SamSa”として分類してありますが、攻撃者はプロジェクトを識別するためにさまざまな名前を使ってきました。下図は、2015年12月から2016年11月までSamSaが使っていたさまざまな内部.NETプロジェクト名を示しています。

図1 SamSaランサムウェアのバージョンの推移
図1 SamSaランサムウェアのバージョンの推移

下記一覧の内部.NETプロジェクト名が目撃されました。目撃順に挙げると次のとおりです。

  • samsam
  • MIKOPONI
  • RikiRafael
  • showmehowto
  • wanadoesme
  • wanadoesme2
  • gonomore
  • gotohelldr
  • WinDir

大半の名前の変更が、今年の4月以降に発生しています。内部でのコードベースの変更について考察する場合、私たちはSamSaについての前回の考察以降、下記の事象を目の当たりにしました。

図2 SamSa変更の推移
図2 SamSa変更の推移
  1. 多数の内部.NET名の変更(RikiRafaelから開始)
  2. 暗号化済みファイル名の拡張子(暗号化が実施された後に使用される拡張子)の多数の変更
  3. 暗号化済みファイル ヘッダーのフォーマットの変更
  4. 被害者に何が起きたのかを知らせる、ドロップされたヘルプ画面のHTMLファイルの変更
  5. SamSaを実行中に保持するのに使われるさまざまな一時フォルダーの名前
  6. AES-128アルゴリズムを用いた埋め込み文字列の暗号化
  7. 内部PDBデバッグ文字列の難読化
  8. 内部PDBデバッグ文字列の完全削除

利益を得る

当初、SamSaについて説明したときには、攻撃者の利益は7万ドルまで確認されましたが、別のリサーチャーは、11万5000ドルはあるだろうと予想しています。大半のランサムウェアと異なり、SamSaランサムウェア実行ファイルには、通常、被害者が身代金を支払うために使用することになるBitcoinウォレットのアドレスが含まれています。私たちは2016年3月24日以降、19個のBitcoin (BTC)アドレスを含む、24個のSamSaサンプルを目撃しました。このサンプルを通じて、ウォレットへの送金のブロックチェーンを監視し、身代金の支払いを特定できました。珍しいケースでは、攻撃者がどの支払いを受け取ったかを私たちが特定できないようにするため、BTCアドレスが第2引数として入力されているSamSaのバージョンが見られました。これは、金銭の支払いの追跡を極めて困難にするだけでなく、SamSa攻撃者が各被害者を感染させる固有のデータを生成して、被害者に対しいかに的を絞ったアプローチを採っているかを示す例でもあります。

3月24日以降、19個のBTCアドレスのうち14個が、合計で約394 BTCの支払いを受け取っています。2016年3月24日以前では、約213 BTCの受け取りが確認されているので、SamSa攻撃者は合計607 BTCを受け取っていることになります。今日の最新のBTCレートである744.43ドルで換算すると、攻撃者は攻撃開始以来、約45万ドルを手にしたと思われます。存在を確認されながら取得できなかった多数のサンプルを勘案すれば、実際の被害金額はさらに増える可能性がある点に注意してください。SamSa攻撃者が手に入れた金額を視覚化すると、以下の図のように表すことができます。

図3 SamSa BCTでの獲得金額の推移
図3 SamSa BCTでの獲得金額の推移

ご覧のとおり、2016年6月と7月の間に大きなギャップがあります。このギャップの最大の理由はリサーチ中に使用されたサンプル数で、当時数ヵ月にわたりわずかなサンプル数しか入手できなかったためと思われます。

結論

ここ1年間、SamSa攻撃者が攻撃を止める兆候はありません。攻撃者は多数の組織へのセキュリティ侵害に成功し、その対価として多額の身代金を稼ぎ続けています。直近の1年間だけでも、攻撃者は詐欺行為で推定45万ドルを手にしました。グループは稼ぎ続けているため、近い将来、攻撃を停止するとは思われません。しかし、Palo Alto Networksのお客様は、次の方法で脅威から保護されています。

  1. すべてのマルウェアは、WildFireで悪意のあるものとして分類されます。
  2. SamSaによって使用されているドメインは、脅威防御で悪意のあるドメインとしてフラグ付けされています。
  3. AutoFocusユーザーは、SamSaタグを使用してこのファミリを追跡できます。

SamSaに関連するセキュリティ侵害の痕跡(IOC)のリストは、こちらから参照できます。

Tags

目次

関連記事

関連項目 リソース

category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A pictorial representation of RA World ransomware group. A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon脅威リサーチ

RA Group から RA World へ: ランサムウェア グループの進化
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow