検索
※本記事は2016年7月7日に米国で掲載されたブログ記事の抄訳を基にしています。
2016年4月、Panda Securityがエクスプロイト キット(EK)トラフィックを介して拡散するCryptoBitという名のさらに新たなランサムウェアのファミリを公表しました。2016年6月、私たちはCryptoBitランサムウェアの更新版がRig EKによって送信されたことに気付きました。
6月23日および6月24日に、この攻撃活動ではドメイン名realstatistics[.]infoの付いたゲートが利用されましたが、このドメイン名はRig EKを指していました。脆弱性のあるWindowsホストがこのトラフィックに遭遇した場合、Rig EKがCryptoBitランサムウェアを配信してそのコンピューターを感染させました。別の情報源ではこのランサムウェアに対して違う表現を使っており、一部ではCryptobitではなく「CriptoBit」または「Mobef」と呼んでいます。
感染トラフィック
6月23日(木)、私たちは図2に見られる感染トラフィックを発生させました。
さらに6月24日に類似の感染を発生させました。セキュリティ侵害の痕跡(IOC)は以下のとおりです。
ゲートはスクリーンの解像度とタイムゾーンを確認してから、Rig EKへの誘導用iframeを伴うjavascriptを返しました。
Rig EKトラフィックには2015年5月以降それほど大きな変更はありません。2015年5月において、Rig EKトラフィックはペイロード難読化からペイロード バイナリのASCII文字列によるXOR演算処理へと切り替わりました。この感染において、Windowsホストには古いFlashプラグインに起因する脆弱性がありました。
CryptoBitに関する感染後のトラフィックには偽のuser-agentがHTTPヘッダーに含まれていますが、コールバック活動を正規のWebトラフィックに見せかけるための偽のreferrer行も含まれています。
感染したWindowsデスクトップ
感染後、図8で示すように、感染したホストのデスクトップ上にウィンドウが突然現れました。
このウィンドウを動かすことはできませんでした。ホストを再起動するとこのポップアップ ウィンドウは消えましたが、復号化に関する同じ指示を内容とするテキスト ファイルがデスクトップ上に残りました。キー ファイルについてもお伝えします。今までのところ、私たちはHITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23およびHITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24のような名前のキー ファイルを確認しております。
復号化に関する指示にあった電子メール アドレスは以下のとおりでした。
復号化に関する指示にあったbitmessage.orgのアドレスは次のとおりでした。
結論
6月27日現在、この攻撃活動は別のマルウェアの配信を開始しています。しかし、6月17日から6月27日までの間、私たちはこの最新版CryptoBit亜種に関して少なくとも8個のサンプルが58.64.142[.]89上のlaoismacau[.]comと通信していることに気付きました。これらのサンプルに関するSHA256ハッシュは以下のとおりです。
Palo Alto Networksのお客様は、次世代セキュリティ プラットフォームを通じて、Rig EKおよびCryptoBitランサムウェアから保護されています。WildFireがCryptoBitファイルを悪意のあるものとして検出しますので、AutoFocusのユーザー様はCryptoBitタグで識別することができます。