FortiGuard Labsは米国時間7月1日、最近入手した「EKANS」ランサムウェアのサンプルを分析し、その結果をレポートとして公開した。同レポートからは、今日のサイバー攻撃者らが産業分野の主要企業を攻撃するために、いかにさまざまな手法を駆使しているのかが見て取れる。
FortiGuard LabsのリサーチャーであるBen Hunter氏とFred Gutierrez氏はこのレポートで、産業制御システム(ICS)を標的とするマルウェアが脅威アクターにとってうま味のあるビジネスであり続けていると述べている。
両氏は最近のサンプルを2種類分析している。それらは、それぞれ5月と6月に入手したものだ。
サンプルはいずれもWindowsベースで、プログラミング言語「Go」で書かれている。Goは異なるプラットフォーム向けに実行可能なようにコンパイルするのが比較的容易であり、マルウェア開発コミュニティーで徐々に利用されるようになっているという。
FortiGuardはEKANSを分析するために、このマルウェアに特化した逆アセンブラーを開発した。その分析によると、5月に入手したサンプルはコーディング上の数多くのエラーがある(文字列の数にして1200を超える)にもかかわらず、ICSへの攻撃が実質的に可能になっていたという。
また、EKANSは攻撃対象を自ら選択する機能を有しているようだ。このマルウェアは、標的とする企業に属するドメイン名を解決し、IPアドレスのリストとその情報を突合することで、攻撃対象かどうかを確認する。攻撃対象として確認できない場合、何もせずに終了する。
攻撃対象であることを確認できた場合、このランサムウェアは攻撃の的となるドメインコントローラーを走査し、感染させようとする。
いずれのサンプルも、ランサムウェアとしての典型的な機能を搭載している。脆弱性を抱えたマシンへの侵入に成功すれば、EKANSはファイルを暗号化し、システムファイルを復元するための復号鍵(実際に復元できるとは限らない)との引き換えとなる身代金を要求するメッセージを表示するようになっている。
それでも、6月に発見されたサンプルにはこういった機能だけでなく、ホストのファイアウォールを無効化するといった、企業の環境に混乱を引き起こしかねない高レベルの機能も搭載されている。
EKANSへの機能追加はこれだけにとどまらない。ICSが持つ既存の保護機能をすり抜けるために、このランサムウェアは暗号化処理に先立って、ファイアウォールを有効化しようとするという。
EKANSは攻撃対象としたマシンのシステムをロックするためにRSA暗号を使用しており、各種プロセスの強制停止という悪逆非道の限りを尽くし、マルウェアの行動を妨げる可能性があるシステムをすべて排除するとともに、ファイルの復旧をより困難なものにすべくプロセス中のシャドーコピーも削除する。
FortiGuardはさらに、産業分野の脅威アクターに採用されている最新のテクニックや手法だと同社が考えていることについて案内している。これには、リモートサービスの悪用や認証情報ダンピングの使用、ネットワークでの水平移動、サイバーセキュリティツールの無効化や修正、Windowsのイベントログを無効化することで防御を損なわせる動き、グループポリシーの修正などがある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
