ダークウェブ上で販売されている廉価版のランサムウェアが進化してワームのような機能を持ち、ネットワークや外部ドライブにまで感染を拡大するようになった。それに加えて、他のランサムウェアによって既に暗号化されているファイルも再び暗号化するようになった。
「Stampado」という名称のこのランサムウェアは、ダークウェブ上で「安価、かつ管理が簡単」という触れ込みのもと、39ドルで販売されており、購入者に対して「永久ライセンス」を提供している。
サイバー犯罪者予備軍が使うような安物のランサムウェアでは、対価に見合うほどの成果を出せないと考えるかもしれないが、サイバーセキュリティ企業であるZscalerの研究者らの分析によると、Stampadoは自己増殖機能を備えていることが分かったという。この機能によって、感染したシステムに接続されている複数のデバイスやドライブにまで感染を拡大できるため、Stampadoは極めて効果的なランサムウェアになっている。
Stampadoは通常、スパムメールやドライブバイダウンロード攻撃によって感染し、「Windows」の正規の実行可能プロセスであるsvchost.exeと見分けがつきにくいscvhost.exeという名称で%AppData%フォルダに自らをインストールする。
Stampadoはいったん活動を開始すると、自らのコピーをこっそりとローカルネットワーク上と、感染したマシンに接続されているすべてのリムーバブルデバイス上に作成しようとする。また、Stampadoは被害者のシステムが既に他のランサムウェアに感染していたとしても容赦せず、暗号化されているファイルを再び暗号化する。
つまり、被害者はファイルを元通りにするために2度にわたって、すなわちランサムウェアを仕掛けたそれぞれの犯人に身代金を支払う必要がある。Stampadoは、「Locky」や「Cerber」「Cryptowall」といった系列のランサムウェアが暗号化したファイルを再暗号することができる。
Stampadoは、標的となるファイルをすべて暗号化し終えると、身代金要求画面を表示し、身代金が支払われなかった場合、96時間後にすべてのファイルを削除すると脅迫する。またこの画面には、6時間ごとにランダムに選択したファイルを削除するというさらなる脅し文句も含まれている。
ビットコインを要求する他のランサムウェアとは異なり、身代金の支払いに際してはまず、感染したシステムを識別するための「ID」を付記した電子メールを、指定したアドレスに送るようになっている。
Zscalerの研究者らは被害者に対して、Stampadoによって暗号化されたファイルは自身で復号できるため、身代金を支払わないようアドバイスしている。
提供:Zscaler
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
