新しいStopCrypt

StopCryptはランサムウェアの名前です。
このマルウェアの新しい亜種が確認されています。

• 初期感染
  まずはマルバタイジングなどが入り口となります。
  フリーソフトウェア、有償ゲームのチート、ソフトウェアのクラック版といったものとして配布されているものを入手するところから始まる例があります。

   

• 第一段階
  一見無関係なDLLファイルを読み込み、しばらく様子を見ます。
  長時間の遅延を行うことによって、解析を逃れようとする機構を持っています。

   

• 第二段階
  次に、API呼び出し環境を構築します。
  通常実施するAPI呼び出しを使用すると、それはセキュリティツールでフックされて検査されることを回避することを狙い、この段階が設置されているようです。

   

• 第三段階
  次に、動作環境とするプロセスの空洞化を実現します。
  いわゆるホロー化です。

   

• 最終段階
  準備は整いました。
  マルウェアは目的のペイロードの持ち込みを行います。
  感染活動を行っているユーザのAppDataのPATHの下にマルウェアのバイナリを置き、定期的に自動実行されるようにスケジュールを仕掛けます。
  動作したマルウェアは暗号化を開始します。
  暗号化されたファイルのファイル名は、拡張子「.msjd」が追加されます。
  そして、暗号化されたファイルが置かれたディレクトリには、脅迫文ファイルとして「_readme.txt」が設置されます。

ところで、StopCryptの名前をみなさんは知っていたでしょうか。
LockBit、BlackCat、Clopなどの名前はセキュリティ関連のニュースの記事などで見る機会が多いかもしれませんが、StopCryptの名前はそうではないかもしれません。
LockBitなどのよく話題になるランサムウェアは、ターゲットが大きな企業などになっています。
そして、脅迫の金額も大きく、横展開も激しい、ひとつひとつが大きな脅威活動になっています。
一方、StopCryptは、個人などがターゲットになっていて、脅迫金額も大きくないけれども、侵害の件数が多くて結果として被害者数が多い、というものとなっています。

会社などの組織のメンバーとしての私たちにとってはLockBitなどが注意の対象となるように思われますが、個人としてはStopCryptのような脅威のほうに注意を向けなければならないのかもしれません。

参考記事（外部リンク）：New Multi-Stage StopCrypt Ransomware
blog.sonicwall.com/en-us/2024/03/new-multi-stage-stopcrypt-ransomware/