※本記事は2016年7月7日に米国で掲載されたブログ記事の抄訳を基にしています。

2016年4月、Panda Securityがエクスプロイト キット(EK)トラフィックを介して拡散するCryptoBitという名のさらに新たなランサムウェアのファミリを公表しました。2016年6月、私たちはCryptoBitランサムウェアの更新版がRig EKによって送信されたことに気付きました。

6月23日および6月24日に、この攻撃活動ではドメイン名realstatistics[.]infoの付いたゲートが利用されましたが、このドメイン名はRig EKを指していました。脆弱性のあるWindowsホストがこのトラフィックに遭遇した場合、Rig EKがCryptoBitランサムウェアを配信してそのコンピューターを感染させました。別の情報源ではこのランサムウェアに対して違う表現を使っており、一部ではCryptobitではなく「CriptoBit」または「Mobef」と呼んでいます。

図1: このEKによるCryptoBit感染のフローチャート
 

感染トラフィック

6月23日(木)、私たちは図2に見られる感染トラフィックを発生させました。

図2: Rig EKを介したCryptoBit感染を目的とするトラフィック(2016年6月23日)
 

さらに6月24日に類似の感染を発生させました。セキュリティ侵害の痕跡(IOC)は以下のとおりです。

  • 85.25.95[.]39 – realstatistics[.]info – Rig EKを指すゲート
  • 5.61.37[.]139 – kjyrxilohcowy.dyndns[.]org – Rig EK (2016年6月23日)
  • 5.61.32[.]163 – smobutdobesy.dyndns.org[.]org – Rig EK (2016年6月24日)
  • 58.64.142[.]89 – laoismacau[.]com – 感染後にCryptoBitから生じたトラフィック

ゲートはスクリーンの解像度とタイムゾーンを確認してから、Rig EKへの誘導用iframeを伴うjavascriptを返しました。

図3: ゲート ドメインに対する最初のHTTP要求
 

図4: ゲート ドメインに対する2番目のHTTP要求
 

Rig EKトラフィックには2015年5月以降それほど大きな変更はありません。2015年5月において、Rig EKトラフィックはペイロード難読化からペイロード バイナリのASCII文字列によるXOR演算処理へと切り替わりました。この感染において、Windowsホストには古いFlashプラグインに起因する脆弱性がありました。

図5: Flashエクスプロイトを送信中のRig EK
 

図6: マルウェア ペイロードを送信中のRig EK
 

CryptoBitに関する感染後のトラフィックには偽のuser-agentがHTTPヘッダーに含まれていますが、コールバック活動を正規のWebトラフィックに見せかけるための偽のreferrer行も含まれています。

図7: CryptoBitランサムウェアにより発生した感染後のトラフィック
 

感染したWindowsデスクトップ

感染後、図8で示すように、感染したホストのデスクトップ上にウィンドウが突然現れました。

図8: CryptoBit感染直後のWindowsホストのデスクトップ
 

図9: CryptoBitの復号化に関する指示(拡大画像)
 

このウィンドウを動かすことはできませんでした。ホストを再起動するとこのポップアップ ウィンドウは消えましたが、復号化に関する同じ指示を内容とするテキスト ファイルがデスクトップ上に残りました。キー ファイルについてもお伝えします。今までのところ、私たちはHITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23およびHITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24のような名前のキー ファイルを確認しております。

図10: 再起動後のWindowsデスクトップ(2016年6月23日以降)
 

図11: 別の感染後のWindowsデスクトップ(2016年6月24日)
 

復号化に関する指示にあった電子メール アドレスは以下のとおりでした。

  • epiclesis[at]protonmail.ch
  • kyklos[at]lelantos.org
  • kyklos[at]scryptmail.com
  • malakia[at]anoninbox.net
  • malakia[at]openmailbox.org
  • sycophant[at]sigaint.org

復号化に関する指示にあったbitmessage.orgのアドレスは次のとおりでした。

  • BM-NAxZ29ouecw2Y7ibaXKus1vxDRDfheW6

結論

6月27日現在、この攻撃活動は別のマルウェアの配信を開始しています。しかし、6月17日から6月27日までの間、私たちはこの最新版CryptoBit亜種に関して少なくとも8個のサンプルが58.64.142[.]89上のlaoismacau[.]comと通信していることに気付きました。これらのサンプルに関するSHA256ハッシュは以下のとおりです。

  • 2477db8c1a6882212921ce396d85964d182f9993a0786fb7ccc497b0af78fd3b
  • 4eb75511b34cc276251dff1007328477836da59458e1f89c607c2590fe2ebdaf
  • 5351c106e578453993d20b10bd71301c831a2a0cea3aa45d911fde7a94b9247a
  • 642a3067a35348a833e82e7c08eb53c27f6d2bc68c61bc6e81f135e9927969c7
  • 6cb7ceca202fccbb8592728b030127eff7a5661b80131d2a40dc637b76d82fa8
  • 8fe6b7f52033794d97aa58605ba3eb306c537abeeaf6d14f45ba3204bf112f70
  • 90e1ea707f97105a99cd7e960fc26deb91aba68f50ec80e40bf915822c4e3998
  • bd7e11ecdf7308a4173bdaff82b38c2fba47939ac0356a1878a52fff203656ab

Palo Alto Networksのお客様は、次世代セキュリティ プラットフォームを通じて、Rig EKおよびCryptoBitランサムウェアから保護されています。WildFireがCryptoBitファイルを悪意のあるものとして検出しますので、AutoFocusのユーザー様はCryptoBitタグで識別することができます。