新種のランサムウェアが世界規模で活動している。これは、自らをアプリケーションやゲームに見せかけ、ユーザーをだましてPCにダウンロードさせ、実行させるというものだ。
「Anatova」と名付けられたこのランサムウェアは1月1日にビルドされたと考えられている。そのコードを見る限り、背後にいるサイバー犯罪者は経験豊富なマルウェア開発者であるようだ。
Anatovaは、新たな回避戦術や、自己増殖メカニズムを容易に追加できるようになっていることで、迅速に変異する能力を備えている。また、ユーザーファイルの暗号化にRSA暗号方式のキーペアを組み合わせることで、強力な暗号化機能も実現している。この戦術は「GandCrab」や「Crysis」といった、世界を席巻している複数のマルウェアファミリも採用しているものだ。
Anatovaを発見したMcAfeeのセキュリティリサーチャーらは、同マルウェアが強力な暗号化機能とともに、モジュール型の拡張機能を備えていることから、技術力の高いサイバー犯罪者によって作成されたと考えており、深刻な脅威になり得ると警告している。
McAfeeのリードサイエンティストであり、プリンシパルエンジニアでもあるChristiaan Beek氏は「Anatovaは、モジュール型アーキテクチャを採用しているがゆえに新機能の追加が容易であるため、極めて危険なものになり得る。これは経験豊富な開発者によって作り出されており、ランサムウェアへの一般的な対抗手段を確実に無力化できるだけの十分な機能を搭載している」と述べている。
現時点で最も被害者数が多いのは米国であり、ベルギーやドイツ、フランス、英国をはじめとする欧州各国でも被害が確認されている。
ピアツーピアのネットワーク経由で拡散するAnatovaは、無償でダウンロードできるゲームやソフトウェアを偽装してダウンロードを誘っているが、リサーチャーらによると将来的にはピアツーピア以外での攻撃ベクタによって拡散する可能性もあるという。
Anatovaは、標的にすべきシステムであることを確認した後、(復号時に必要な)すべての文字列情報の暗号化に使用する暗号APIを用いてRSA暗号方式のキーペアを作成する。その後、標的システムを暗号化するための(Salsa20方式の)キーをランダムに生成し、ランサムウェアの配備処理を実行する。