新たに発見された「Tycoon」という名前のランサムウェアが、「Windows」と「Linux」システムを標的に攻撃キャンペーンを繰り広げているようだ。
このランサムウェアは2019年12月より活動しており、極めて選択的に標的を絞り込んだ、サイバー犯罪者の仕業と考えられる。珍しい方法で仕掛けられているため、侵入したネットワークで発見されにくい。BlackBerryによると、被害者の数は限られているようだ。
Tycoonが主に狙っているのは、教育業界とソフトウェア業界の組織だ。
Tycoonは、BlackBerryの研究者とKPMGのセキュリティーアナリストが発見し、詳細に報告している。このランサムウェアはJavaで記述されており、トロイの木馬化された「Java Runtime Environment」の形で仕掛けられ、悪意を隠すために「JIMAGE」としてコンパイルされているのが珍しいという。
BlackBerryのGuardサービス担当バイスプレジデントのEric Milam氏は、米ZDNetに次のように述べている。「いずれも風変わりな手法である。コードの実行にJava Runtime Environment(JRE)が必要になるため、Javaでエンドポイントマルウエアが記述されることはめったにない。また、マルウェア攻撃でイメージファイルが使用されるのも珍しい」
BlackBerryによると、マルウェアの作者は目立たないように行動する新たな手段を常に模索している。「攻撃者は、攻撃では一般的でないプログラミング言語やあまり知られていないデータ形式にシフトしている」(Milam氏)
その一方で、Tycoonランサムウェアの攻撃の第1段階はさほど珍しいものではなく、インターネットに公開されている安全でないリモートデスクトップ(RDP)サーバー経由で侵入する。これはマルウエアキャンペーンによくある手口で、弱いパスワードや、過去に侵害されたことがあるパスワードのサーバーを悪用することが多い。
いったんネットワークに侵入すると、攻撃者はImage File Execution Options(IFEO)のインジェクションの設定を使用して、被害者のマシンで永続性を維持する。IFEOは通常、開発者がソフトウェアのデバッグに使用するものだ。また、攻撃者は「ProcessHacker」を使ってマルウェア対策ソフトを無効にし、攻撃が排除されないようにする。
攻撃者はこのランサムウェアモジュールを実行し、ファイルサーバーを暗号化する。Tycoonは暗号化したファイルに「.redrum」「.grinch」「.thanos」などの拡張子をつける。攻撃者は復号キーと引き換えに、身代金をビットコインで要求し、その金額は被害者がどれだけ早く電子メールで連絡するか次第だと脅しているようだ。
この攻撃キャンペーンが現在も続いていることから、被害者から身代金を巻き上げることに成功していることがうかがえる。
研究者は、Tycoonが「Dharma」ランサムウェアとつながりがある可能性を示唆している。電子メールアドレスや暗号化されたファイルの名前、身代金の要求メッセージなどに類似点があるためだという。
Tycoonは、感染させる手段として珍しい手法を用いているものの、ほかのランサムウェアと同様に、防ぐ手立てはある。
RDPは不正アクセスの手段としてよく利用されるため、組織はインターネットに公開するポートを、絶対に必要なポートのみに限定した方がよいだろう。
また、これらのポートにアクセスする必要があるアカウントが、デフォルトの認証情報や、容易に推測できる弱いパスワードを使用していないか確認する必要がある。セキュリティパッチがリリースされればすぐに適用し、既知の脆弱性が悪用されないようにすることや、企業はネットワークを定期的にバックアップすることも必要だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
