CryWiper: fake ransomware

CryWiperは名前の通りワイパーです。
データを消し去ってしまいます。
でも単に消すわけではありません。
もう少しひどい動きをするように実装されています。

• ファイルはexe形式
  CryWiperはC++で書かれたマルウェアです。
  観測されている活動時のファイル名はbrowserupdate.exeです。
  64ビットWindows実行可能ファイルとしてコンパイルされていて、多くのWinAPI関数を使って活動します。
• だんだん進行する
  攻撃はだんだん進行します。
  一度に全部を実行するのではなく、徐々に攻撃を進めていきます。
  5分に1回実行される形式でスケジュールが作成されて活動を継続します。
• まばらな実行
  攻撃はスケジュールで5分毎に実行されるようになっていますが、毎回必ず進むわけではありません。
  起動されるたびにマルウェアはC2に通信を行い、攻撃を進めるか休止するかの指令を受けます。
  これによって攻撃の進む速度にばらつきが生じます。
  感染の原因の究明を難しくする効果があるのかもしれません。
• 少しずつ攻撃準備
  感染環境で動作する重要データを攻撃するために少しずつ攻撃準備を実施します。
  mysql、Microsoft Exchange、ActiveDirectory WebService、そういったサービスを停止し、それらのサービスが使用しているデータを攻撃可能にします。
  サービスを停止することでファイルのロックがされていない状態になり、攻撃が可能な状態になります。
• シャドウコピーの削除
  Windowsのストレージ管理機能にボリュームシャドウコピーサービスがあります。
  これが正しく機能している場合、意図しない状態になったファイルを復元することができる場合があります。
  このマルウェアはシャドウコピーを削除します。
• RDP接続の停止
  社員のPCでRDPを有効にしている場合、情報システム部門に依頼してPCの操作や復旧を依頼することができる場合があります。
  これを防止するため、このマルウェアは侵入したPCのRDP接続を停止します。
  速やかに復旧できる可能性が下がります。
• なんでもかんでも攻撃
  攻撃の準備は整いました。攻撃開始です。
  exeやdllなどのすぐに環境が正常動作できなくなる可能性のあるものを除き、すべてのファイルを攻撃します。
  攻撃は見た目上はファイルの暗号化です。
  処理されたファイルには「.cry」拡張子が追加されます。
  一通りの攻撃が完了したら「README.txt」を配置します。
  脅迫文です。
  脅迫文には復号化ツールと引き換えに0.5ビットコイン(2022年12月7日時点では約116万円)の支払いが要求されます。
  もしかしたら身代金を支払う組織もあるかもしれません。
  しかしすでに遅いです。
  このマルウェアの攻撃は暗号化ではありません。
  ワイパーなのです。
  Mersenne Twisterと命名された疑似乱数ジェネレーターの機能を使用し、ファイルは暗号化ではなく上書きされています。
  元に戻す方法は用意されていません。

この攻撃は金銭目的を装った破壊行為です。
このマルウェアを持ち込まれて活動を開始されてしまうとその対象システムは利用できない状態になるまで破壊されます。

どう対処できるでしょう。
現時点では特効薬は思いつきません。
VPNなどの外部からのアクセスは適切に設定したいものです。
各種ソフトウェアはできるだけタイムリーに更新し、最適な状態を維持したいです。
組織を構成する人々の継続的な教育も重要に思えます。
こういった基本的な対策で身を守っていくことになりそうです。

参考記事（外部リンク）：CryWiper: fake ransomware
www.kaspersky.com/blog/crywiper-pseudo-ransomware/46480/