影の人々とも読める「KageNoHitobitoランサムウェア」に注意
2024年7月24日(水)10時32分 マイナビニュース
ビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介するこのシリーズ。今回は、以下のランサムウェアを紹介します。
KageNoHitobitoランサムウェア
DoNexランサムウェア
KageNoHitobitoランサムウェア
KageNoHitobitoランサムウェアのサンプルは、2024年3月下旬にチリ、中国、キューバ、ドイツ、イラン、リトアニア、ペルー、ルーマニア、スウェーデン、台湾、英国、米国から提出されました。感染経路としては、攻撃者が偽のソフトウェアやゲームのチートファイルとしてファイル共有サービスにアップロードし、それをダウンロードすることで感染した可能性があると推測されています。
このランサムウェアも他のランサムウェアと同様、被害者のマシン上のファイルを暗号化し、それを元に戻すための身代金を要求します。ただし、攻撃者は「被害者の情報を盗んでいない」と主張しており、データ流出サイトも運用されていないため、近年増えている「二重恐喝型」ではないと考えられます。暗号化されたファイルには「.hitobito」という拡張子が追加されます。
このランサムウェアで注目すべきポイントは、大きく2点あります。第1に、2024年3月21日から14日以上経過すると(つまり2024年4月4日以降は)、実行を続行しないように設計されていることです。以下の画面の赤線で囲んだコードが該当部分です。
第2に、ランサムノートの中の、「AbleOnionチャットプラットフォーム(主要なダークWebチャットプラットフォームの1つ)を使用するTORサイトにアクセスし、チャットルームに参加せよ」という指示が記載されているものの、このチャットルームは身代金交渉とは無関係だということです。以下はそのランサムノートです。
ランサムノートを邦訳すると、次のようになります(URLには決してアクセスしないでください)。
おっと、あなたのファイルは「影の人びとグループ」によって暗号化されました!
あなたの大切なファイルや書類は、すべて私たちによって暗号化されています。
ステップ1:
現在のデスクトップで、デフォルトのブラウザを開いてください。
そこでTor Browserを検索するか、hxxps://torproject[.]org/にアクセスしてください。
もしTorにアクセスできない場合は、VPNを使ってTorにアクセスしてください。
そしてTor Browserにダウンロードし、ステップ2に従ってください。
ステップ2:
グループチャットに移動し、ユーザー名リストから「Hitobito」を選択してください。
あなたの状況とファイルの対価をメッセージで伝えてください。
hxxps://torproject[.]org/
プライベートメッセージのやり方がわからない場合は、チャットに尋ねてください。
ただし、チャットの中にあるリンクをクリックしたり、彼らの議論に参加したりすることは、おすすめしません。
ステップ3:
ここがコンピュータを素早く復元する上で、重要なステップです。
正しく交渉し、身代金を支払っていただければ、解読ソフトを送ります。
ただし、他のメンバーが「Hitobito」になりすます可能性もあるため、注意してください。
このランサムノートを読むと、このチャットグループが身代金交渉の場のように受け取れます。しかし、実際には指定されたチャットルームはKageNoHitobitoランサムウェアに特化したものではなく、そこで進行しているグループチャットも身代金要求とは無関係なのです。
なお、「KageNoHitobito」は日本語の「影の人々」と読むことができ、日本の何らかのコンテンツとの関係も示唆されますが、調査時点では関連するコンテンツの特定はできていません。
英訳すると「Shadow People」となりますが、これは「人の形をした真っ黒な影に似た物体が出現する怪奇現象またはUMA(未確認動物)の一種」とされており、2006年頃から一種の都市伝説として語られるようになり、現在でも世界各地で同じような現象が目撃されていると言われています。
●
DoNexランサムウェア
DoNexランサムウェアは2024年3月初旬に初めて報告された、比較的新しいランサムウェアグループです。ただし、提出されたサンプルの作成時期は2月中旬であり、データ漏洩サイトに掲載されている被害者もすべて2月に追加されているため、2024年2月には活動を開始していたと考えられます。
なお、データ漏洩サイトに載っている被害者は、ベルギー、チェコ共和国、イタリア、オランダ、米国の5組織であり、2024年2月27日以降、新たな被害者は追加されていないようです。
DoNexランサムウェアの動作は、以下に示す設定ファイルによってカスタマイズされています。Webページの記述に使われる「HTML(Hyper Text Markup Language)」や、データを構造化して記述するための「XML(Extensible Markup Language)」と同じような「タグ」によって、各種設定が記載されています。
この中で、とは暗号化を行わないファイル、は強制終了するプロセス、は強制終了するサービスを示しています。またはローカルディスクのファイルを暗号化するか否か(上記では「true」=「暗号化する」)、はネットワーク共有されたディスクのファイルを暗号化するか否か(同上)を意味しています。
ランサムウェアの多くは、被害者を識別するためにIDを設定しており、身代金交渉や「サポート」の際にこのIDを使用していますが、このランサムウェアでは暗号化ファイルの拡張子にも被害者IDを使用します。
暗号化されたファイルのアイコンと拡張子は、以下のようになり、ファイル名末尾の「f58A66B51」が被害者IDです。なお上記設定のDoNexランサムウェアはシャドウコピーも削除してしまうため、暗号化されたファイルをバックアップから復元することは困難です。
DoNexランサムウェアのランサムノートの内容は、「DarkRace」というランサムウェアと酷似しています。以下に2つの図を並べましたが、上がDoNexランサムウェアのランサムノート、下がDarkRaceランサムウェアのランサムノートです。下の図に上の図と類似している部分に赤線を引いてあります。
また、設定ファイルが用意されていることも類似点です。なおDarkRaceランサムウェアとは、2023年に出現した二重恐喝型のランサムウェアであり、本連載で以前に紹介した「Lockbitマルウェア」との類似性があり、Lockbit 3.0のソースコードにもとづいていると指摘されています。DoNexランサムウェアも、この系列の亜種の一つなのかもしれません。
○これらのランサムウェアについて、もっと詳しく知りたい方に
ここで紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページを参照ください。
「Ransomware Roundup - KageNoHitobito and DoNex」(Shunichi Imano and Fred Gutierrez、2024年4月25日)
○著者プロフィール
今野 俊一(フォーティネットジャパン 上級研究員)、Fred Gutierrez