デコイ用ランサムウェア
デコイは囮です。
獲物をおびき寄せるための餌などを指す言葉です。
ランサムウェアの事例がいくつも確認されていますが、そのなかにランサムウェアによる金銭の取得が目的ではない可能性のあるものが含まれています。
ランサムウェアの被害にあうとどうなるでしょう。
組織内はきっと大騒ぎです。
- システムが利用できない間の業務継続の手配はどう対応しよう
- 侵害の範囲はどこまでだろう
- システムの復旧はどう進めればよいのだろう
- 盗まれたデータはあるのだろうか、あるならばそれは何だろう
- 顧客への開示はいつどのように実施するのがよいだろう
他にも多くの検討し進めていくべき事案が一度にたくさん出てきて、一つ一つ丁寧に実施していくような余裕はない状態に陥ると思います。
通常ランサムウェアは脅迫による金銭の獲得を最終的な目的なものとしていると考えられます。
ですので、良いか悪いかは別にして、金銭を支払えば暗号化されたファイル群は元に戻すことができて対応は進めやすくなる場合もあるかもしれません。
しかし、もし脅迫による金銭の獲得を最終的な目的なものとしていないランサムウェアの活動があるとしたらどうでしょう。
ランサムウェアの被害にあうと通常侵入行為を受けた時に実施したいような調査の実施が非常に困難になります。
また実は機密情報の盗み出しが目的の場合に、狙いの情報だけを盗み出すのではなく、もっと広い範囲の情報を盗み出すことによって、狙いの情報がどれだったのかを分からなくさせてしまうことができるという効果もありそうです。
Bronze RiversideというAPTグループと、BronzeStarlightというAPTグループの活動が観測されています。
これらはそれぞれAPT41、APT10とも呼ばれています。
これらのグループは最近の活動でHUIローダーを使用しています。
文字通りこれはローダーです。
他のバイナリを展開することができます。
展開されるバイナリは、SodaMaster、PlugX、Cobalt Strike、QuasarRATなどのRATです。
RATはリモートアクセストロイです。
そしてこれらのRATでランサムウェアを展開します。
LockFile、AtomSilo、Rook、Night Sky、Pandoraなどのランサムウェアの展開が観測されています。
これらのランサムウェアは非常に短い期間で運用が放棄されています。
通常は作って運用を開始したランサムウェア機構は、ある程度の期間使用することが想定されますが、これらはそうではありません。
さらにこれらのランサムウェアはいずれも実装されている機能の特性に類似性が大きいものとなっています。
いずれも同一のランサムウェアのソースコードをもとにしたものだと考えられるという解析の結果がでています。
これらのことを考え合わせると、ランサムウェア攻撃を他の行為の煙幕として使っている可能性が考えられます。
また短命に終わらせることで背後にあるグループの情報を特定されないようにしようという狙いがあるとすると合点がいきます。
ランサムウェアの被害にあったが無事復旧できた、評判の低下も最小限に抑えることができた、だからよかった、安心した。
こんな事例があった時、本当にそうなのでしょうか。
もしかしたらそのランサムウェア攻撃は攻撃そのものが目的ではなく機密情報を盗難することが真の目的だったかもしれません。
類似の話のHermeticRansomのときは遠い国の話に見えました。
しかし、Bronze Riversideの活動は、A41APTキャンペーンとして日本の組織から知的財産を盗む活動を実施していることも観測されています。
遠い国の出来事としてでなく自分たちの問題として考える必要がありそうです。
参考記事(外部リンク):BRONZE STARLIGHT Ransomware Operations Use HUI Loader
www.secureworks.com/research/bronze-starlight-ransomware-operations-use-hui-loader
