チェック・ポイント・リサーチ、史上最速の未知のランサムウェア「Rorschach」の情報を公開

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

From: PR TIMES

2023-04-25 12:16

インクの染みがさまざまな形に見えるロールシャッハテストのように、見る人ごとに異なって見える新しく巧妙なランサムウェアを発見し、注意喚起



包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)と、チェック・ポイント インシデントレスポンスチーム(Check Point Incident Response Team、以下CPIRT < (リンク ») > )は、新しくかつより巧妙な無名のランサムウェア株について注意喚起しました。チェック・ポイントのリサーチャーが「Rorschach(ロールシャッハ)」と名付けたこのランサムウェアは、アメリカに拠点を置く企業への攻撃に使用されました。

ハイライト
CPRとCPIRTはアメリカを拠点とする企業を標的に攻撃を展開する無名のランサムウェアを検出、「Rorschach」と名付けました。

Rorschachは従来のランサムウェアには見られないユニークな技術的特徴を備え、高度なカスタマイズが可能、かつこれまで観測されたランサムウェアの中で最も高速な性能を持つものの一つです。

RorschachはPalo Alto Networks社の署名付きセキュリティ製品であるCortex XDRのDLLサイドローディングを利用して展開されています。この手法はランサムウェアのロード方法としては一般的にはあまり使用されません。なお、この情報はPalo Alto Networks社に対し適切に開示されています。



人によって見えるものが異なるランサムウェア
このRorschachが他のランサムウェア株と一線を画すのは、高度なカスタマイズ性と、これまでのランサムウェアにないユニークな技術的特徴を備えている点です。事実、暗号化のスピードにおいて、Rorschachはこれまで観測された中で最も高速なランサムウェア株の一つです。

Rorschachは、署名入りの商用セキュリティ製品であるPalo Alto Networks社のCortex XDR Dump Service ToolのDLLサイドローディングを利用して展開されていました。このサイドローディングというロード方法は一般的にランサムウェアのロードには使用されていないため、サイバー犯罪者が検知回避のためにとった新たな手法が明らかになりました。このRorschachの展開を可能にした脆弱性は、Palo Alto Networks社へ適切に開示されています。
Rorschach発見の経緯CPIRTは、アメリカに拠点を置く企業へのランサムウェア攻撃事例に対応する中で、Palo Alto Networks社のセキュリティ製品であるCortex XDRの署名付きコンポーネントを使用して展開されたユニークなランサムウェア株に遭遇しました。他のランサムウェアによる事例と異なり、この脅威アクターはエイリアスによって身元を隠すこともなく、また既知のランサムウェアグループに属してもいませんでした。この2つの事実はランサムウェアのエコシステムにおいては稀であり、CPRの注意を惹き、新たに発見されたこのマルウェアに対する徹底的な分析に繋がりました。ランサムウェアの中でも未曾有のスピードと珍しい機能分析の結果、この新たなランサムウェアはユニークな特徴を示しました。行動分析によるとこの新型ランサムウェアは一部自律的に動作し、ドメインコントローラ(DC)上で実行された場合、感染したマシンのイベントログを消去しつつ自動的に拡散します。さらに極めて柔軟性が高く、元来組み込まれていた設定に基づいて動作するのみならず、多数の任意の引数に基づき、操作者のニーズに応じて動作を変化させられます。いくつかの悪名高いランサムウェアファミリーからインスピレーションを得ていると見られる半面、直接システムコールの使用など、ランサムウェアで見られることが稀な独自の機能も備えています。

被害者に送られたランサムノートのフォーマットはYanluowangランサムウェアと類似する一方、亜種ではよりDarkSideランサムウェアに近いフォーマットが使用されていました(このため一部ではDarkSideとの誤認 < (リンク ») > を招きました)。このランサムウェアを検分する人が皆少しずつ異なったものを目にすることから、有名な心理テストにちなみ、「Rorschach(ロールシャッハ)」ランサムウェアと名付けました。

[画像1: (リンク ») ]


(以下、上図内ランサムノートの日本語訳)
解読ID:(――)こんにちは。これを読んでいるあなたは既にハッキングされています。我々はシステムをすべて暗号化してバックアップを削除し、機密情報をダウンロードしました。以下は、禁止事項です:1) 取引完了前の警察やFBI、その他当局への接触。2) 我々との交渉に関するリカバリー業者への依頼(これは復旧の遅れを招き、多くの場合我々とのコミュニケーションを無効にします)。リカバリー業者への依頼はやめておくことです。彼らの本質はただの仲介人であり、あなたにお金を払わせ、騙すだけの存在です。我々がよく知るケースとして、リカバリー業者が500万ドルの身代金が必要と言いながら我々と秘密裏に100万ドルで交渉し、400万ドルを騙し取るような例もあります。仲介業者を介さず直接やり取りすれば、支払う額は5分の1の100万ドルです。3) ファイルの解読を自力で試みたり、拡張子を変更したりしないこと!!! 復号化が不可能になる可能性があります。以下は、これを読んだら即座に実行すべきことです:1) あなたが一般の従業員の場合、会社のCEOやIT部門に我々のメッセージを送ること。2) あなたがCEOやIT部門スペシャリスト、その他重役の場合は、24時間以内にメールで我々に連絡すること。身代金を支払わなければ、会社が将来的に再び攻撃を受けることになります。我々は数週間以内に、ひたすら攻撃を繰り返してネットワークから全データを削除します。データは二度と使い物になりません!こちらがファイルを復号化できることの保証として、いくつかのファイルを送付すれば無料で復号化します。連絡用メールアドレス(メッセージ件名の解読IDを記載すること): 1)――2)――

Rorschachに関する分析の全文は、research.checkpoint.comでご覧いただけます。チェック・ポイントのお客様への保護はRorschachランサムウェアに対しても万全です
Harmony Endpoint < (リンク ») > は、ランサムウェアに対するランタイムプロテクションを提供し、オフラインモードでも即座に自動修復を行います。ランサムウェアによる異常が発生した場合、Harmony Endpointのアンチランサムウェア < (リンク ») > とBehavioral Guard機能が攻撃チェーン全体を特定、ブロックし修復します。

Rorschachランサムウェアに感染したマシン上でHarmony Endpointを実行したところ、アンチランサムウェア機能がHarmony Endpointのハニーポットファイルを含む、異なるフォルダでの暗号化処理を検出しました。Harmony Endpointは評価アルゴリズムを実行し、ランサムウェアによるプロセスを特定するための判断を提供しました。

攻撃ツリープロセスが割り出され、Harmony Endpointがすべての悪意あるプロセスを遮断し、攻撃をブロックしました。その後、修復コンポーネントが悪意あるプロセスを含むすべての暗号化ファイルを削除し、システムバックアップを使用して元の状態を回復しました。

攻撃に関する調査を支援するため、Harmony Endpointは攻撃ツリーや完全なMITREマッピングを含む情報を完備したフォレンジックレポートを提供します。

このフォレンジックレポートが示すように、Harmony Endpointは攻撃を検知、ランサムウェアとして分類し、すべての悪意あるプロセスを100%遮断しました。修復の際には影響を受けたファイルの100%を削除または隔離し、元の状態を回復しました(ハニーポットファイルを除く)。

これらの機能により、事業の継続に影響を与えることなく攻撃をブロックできます。

[画像2: (リンク ») ]


Harmony Endpointのアンチランサムウェア機能は、高度なボリュームベースの暗号化やワイパー攻撃などの様々なランサムウェア攻撃に対する、さらに高度な機能を提供します。また、正規ツールがランサムウェアのエージェントとして悪用されることを防ぎます。

Harmony Endpoint < (リンク ») > を活用し、ランサムウェアに対するエンドポイント保護を実現してください。プライベートデモ < (リンク ») > のご予約や無料体験 < (リンク ») > の開始はいつでも可能です。

本プレスリリースは、米国時間2023年4月3日に発表されたブログ(英語) < (リンク ») > をもとに作成しています。

Check Point ResearchについてCheck Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < (リンク ») > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。ブログ: (リンク ») (リンク »)

チェック・ポイントについてチェック・ポイント・ソフトウェア・テクノロジーズ( (リンク ») )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( (リンク ») )は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント ・Check Point Blog: (リンク ») ・Check Point Research Blog: (リンク ») ・YouTube: (リンク ») ・LinkedIn: (リンク ») ・Twitter: (リンク ») ・Facebook: (リンク »)

本件に関する報道関係者からのお問い合わせチェック・ポイント広報事務局 (合同会社NEXT PR内)Tel:03-4405-9537 Fax:03-4332-2354E-mail: checkpointPR@next-pr.co.jp

プレスリリース提供:PR TIMES (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]