Lockyを模倣するHades Lockerランサムウェア

Share with your network!

2016年10月05日 Proofpoint Staff

概要

Proofpointは、Hades Lockerと呼ばれる別の新しいランサムウェアの型を10月4日に発見しました。Lockyのランサムメッセージを模倣する型です。 Hades LockerはZyklon LockerとWildfire Locker[1]の進化型と見られます。この二つは今年前半に同じボットネット（Kelihos[2]）を利用した送信を使用していたことがわかっています。最近記録されたCryptFile2[3]とMarsJoke[4]のキャンペーンでも、同じスパムボットネットを利用した送信で、類似した配信技術（配送に関するメールでおびきよせる）が使用されていました。しかしながら、CryptFile2とMarsJokeのキャンペーンは州や地方政府機関をターゲットにし、このHades Lockerキャンペーンは製造業やビジネスサービスのバーティカル市場をターゲットにしていました。

メールによるキャンペーン

Proofpointは10月4日に、Hades Lockerランサムウェアのメールキャンペーンを検知しました。メールには「levering-1478529.doc」（番号はランダムで、「levering」はオランダ語で「配達」を意味する）といった名のついたMicrosoft WordドキュメントへのURLが記載されており、最近登録されたドメインを持つあらゆるサイトがこのキャンペーンを支援する目的でファイルのホストとなっているようです。これは、弊社が最近確認したかなり頻繁な添付ドキュメントのキャンペーンから発展しています。これには広く散布されたLockyランサムウェアなどの一連のマルウェアが付いていましたが、MarsJokeキャンペーンで見られた技術に一致しています。

図1: 最終ペイロードをダウンロードするドキュメント

このキャンペーンは小規模（数百件のメッセージ）で、西ヨーロッパの製造業やビジネスサービスのバーティカル市場をターゲットにしていました。

分析

被害者に対して感染したこと、ファイルが暗号化されていることのアラートを送るため、このランサムウェアは、他の多くのランサムウェアと同様、被害者のファイルシステム全体にばらまかれる数種類のファイルを作成します。

README_RECOVER_FILES_[16 digits].txt
README_RECOVER_FILES_[16 digits].html
README_RECOVER_FILES_[16 digits].png

暗号化されたファイルには「.~HL233XP」、「.~HLJPK1L」、「.~HL0XHSF」といった新しい拡張子がつけられます。新しい拡張子の最初の4文字「.~HL」は常に同じものが使われ、残りの5文字は異なります。

図2: 新しい拡張子付きで変更されたファイル

ランサムメッセージは被害者のデスクトップに、テキストファイルやHTMLファイル、画像として落とされます。

図3: Hades Lockerランサムメッセージの画像

図4: Hades Lockerランサムメッセージのテキストファイル

図5: Hades LockerランサムメッセージのHTMLファイル

被害者に「あなたのファイル専用の復号用パスワードを購入してください」とメッセージで促します。これを行うために、被害者はあるウェブページやOnionサイトへ行くように指示されます。復号サイトはデクリプターを供給するために、現在、1ビットコイン（現在の為替レートで600USD）を要求しています。

図6: Hades Locker復号サイトのランディングページ

「ヘルプデスク」タブでは、ユーザーに暗号化ファイルの例を送信するオプションを与え、アクターが復号化したファイルを24時間以内に送ることを約束します。これは、復号化が可能であることを証明して被害者が身代金を支払うことを促すことを意図しています。

図7: ヘルプデスクではマルウェアの作者とチャットできる

そしてようやく「復号化チュートリアル」が提供されます。おそらく、被害者が支払いを終えた後に使用できるデクリプターを実行する際に役立つものでしょう。弊社では、そのようなツールが実際に提供されているかは不明です。

図8: 「復号化チュートリアル」タブ

Lockyとの類似点

Hades Lockerは、少なくとも見た目はLockyを模倣しているように見えます。例えば、図9で示しているような、ユーザーに対して表示されるランサムメッセージの類似点です。

図9: Hades Locker（左）とLocky（右）のランサムメッセージの類似点。ここに表示しているLockyのランサム画像は以前のバージョンです。これ以降のバージョンはもう少し洗練されたものになっています。

図10: Hades Locker（左）とLocky（右）で使用されるランサムノートのテキストバージョンの類似点。

弊社では、これが単なる模倣か、コードの再利用か、あるいは二つのランサムウェアのバリアントに何か強い繋がりがあるかは検証していません。

ネットワークトラフィック分析

マルウェアはまず被害者のグローバルIPアドレス、地域、国、インターネットサービスプロバイダーを、ip-api.comにリクエストして見つけ出そうとします。その次に、ハードコード化されたドメインのひとつを使用してC&Cサーバーにチェックインを試みます。

図11: マルウェア実行時に観測されるHades Lockerトラフィック

C&Cサーバーへチェックインしている時に、ユニークID、トラッキングID（おそらくキャンペーンID）、ユーザー名およびコンピュータ名、グローバルIPアドレス、被害者の国（ip-api.comを経由して特定）など、さまざまなフィールドが報告されていることを弊社では観測しています。サーバーは、ステータスメッセージとクリアテキストの「パスワード」フィールドで応答します。弊社はこのパスワードが暗号化に使用されたもので、被害者がネットワークトラフィックをキャプチャする場合に復号化をトリビアルにしているのではないかと疑っています。

図12: C&Cサーバーチェックイン

結論

Hades Lockerは、弊社が全般的に観測する中で見られるランサムウェアの変種の進行中のシリーズの中で最新です。 Kelihosボットネットは、Hades Locker（WildfireとZyklon）の先行版と、弊社が最近対応したCryptFile2およびMarsJokeのキャンペーンの両方を送るために使用されたと見られます。ランサムウェア自体はLockyの以前のバージョンの模倣に見えますが、バリアントの正確な系統に関わらず、ランサムは増加しており、アクターはマルウェアをホストしたリンクなど新しい配信方法を探しています。ランサムウェアが続々と共有化され、ランサムウェアの変種が機能やその美学を共有するため、弊社は市場の進化とビジネスや個人への影響を監視し続けてまいります。

参考

攻撃されたことを示す痕跡（IOC）

IOC	IOCのタイプ	詳細
hxxp://transportbedrijfvanetten[.]nl/downloads/levering-7834535.doc	URL	メールに記載されるURL
hxxp://leursmatransport[.]nl/downloads/levering-1245789.doc	URL	メールに記載されるURL
hxxp://transportbedrijfbrenninkmeijer[.]nl/downloads/levering-739176.doc	URL	メールに記載されるURL
hxxp://breesmanstransport[.]nl/downloads/levering-1478529.doc	URL	メールに記載されるURL
hxxp://185.45.193[.]169/update.exe	URL	ドキュメントによりダウンロードされたペイロード（Hades Locker）
37004c5019db04463248da8469952af8ed742ba00cfa440dd65b2d94d0856809	SHA256	Update.exe (Hades Locker)
hxxp://pfmydcsjib[.]ru/config.php	URL	Hades Locker C2
hxxp://jdybchotfn[.]ru/config.php	URL	Hades Locker C2

こうしたトラフィックに攻撃するであろうET署名を選択：

2822388 || ETPRO TROJAN MSIL/HadesLocker Ransomware Checkin

業界別ソリューション

Lockyを模倣するHades Lockerランサムウェア