煙幕に使われるランサムウェア

ランサムウェア攻撃は、それそのものが大きな脅威です。
そしてランサムウェア攻撃は大きな問題となっていますので注目を集めやすいです。
自分の関連する組織でランサムウェア攻撃にあったと想像してみてください。
どのように対策するかなど現場は大きな混乱に陥ることも考えられます。

なにか秘密の取り組みを行うとき、単にこっそりと実施するだけではなく何かに紛れ込ませるということが行われることがあります。
干し草の山の中から針を一本見つけ出すのは難しい、というようなそういう感じです。

新しい脅威が確認されています。
名前はIsaacWiperです。
名前が示す通り、これはワイパーです。
不当に不正にファイルを削除します。
破壊的攻撃に使用されます。
このIsaacWiperの活動を見えなくするような動きで、一緒にランサムウェア攻撃の活動が実施されていることが確認されています。
ランサムウェア攻撃が煙幕に使われているのです。

こうなってくると、ランサムウェア攻撃そのものはそんなに壊滅的な被害を与えることができなくてもよいのかもしれません。
なるべく大きな騒ぎになるように活動させ、その隙に別のことをやればよいのですから。

IsaacWiperとともにいくつかのマルウェアが同じ場所で同時に観測されています。

• HermeticWiper
  Windows実行可能ファイルとして作成されているワイパーです。
  4つのドライバーを持ち、それによって低レベルのディスク操作を実装しています。
  Windowsのsystem32ディレクトリの下に.sysファイルとして配置されて活動します。
  環境を壊す活動が終わると、自分自身をランダムバイトで上書きし、自分を使えなくします。
  解析を困難にする動きです。
• HermeticWizard
  これは情報収集と拡散を担当します。
  現地の環境のパソコンのIPアドレスを確認し、最終的にはそこにHermeticWiperを送り込みます。
• HermeticRansom
  ランサムウェアです。
  この組み合わせで使用される場合、これは陽動作戦の意味になっていると考えられます。
  実際に暗号化を実施します。
  そして暗号化後には、脅迫文を配置します。
• IsaacWiper
  こちらもワイパーです。
  しかし、バイナリを確認する限りにおいては、HermeticWiperとの共通点は確認されていません。

2月末頃からウクライナでこれらのマルウェアの活動が確認されています。
初期ベクトルはまだわかっていません。
特定のAPTアクターへの関連性もまだわかっていません。
他の地域での観測もまだ確認されていません。

どのように注意することができるか、どのように対策することができるか、明確にはわかりません。
ただ、このような方式の作戦が存在するのだということは認識しておく必要がありそうです。

参考記事（外部リンク）：IsaacWiper and HermeticWizard: New wiper and worm targeting
Ukraine
www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/