脅迫文を読み上げる、新たなランサムウェア「Cerber」

  • 執筆者:セキュリティストラテジスト 寺下 健一
    2016年5月12日

昨今、サイバーセキュリティの脅威として最も注目を浴びているランサムウェアに関するセキュリティトレンドについて、FortiGuard Labs Japanでは我々の200万台以上のセキュリティセンサーで収集しているデータから、その動向について日々調査しています。その中から活発に活動し始めた新たなランサムウェアの脅威動向についてお伝えします。

CryptoWall

このブログの読者の方々にとっては既におなじみの名前になったのではないでしょうか。長らく世界中にその脅威を広げ、Cyber Threat AllianceのCryptoWall 3に関する調査によるとこれまで3億ドル以上の被害を及ぼした巨大なランサムウェアの活動です。我々の調査によると、その活動はどうやら縮小傾向にあるようで、そのアクティビティの検知数は右肩下がりとなっています。日本国内の傾向だけを見てもそれは同様で、昨年をピークに縮小傾向にあります。


図1: CryptoWallのアクティビティトレンド (2015/2/1 - 2016/4/22)

Locky

2016年2月から急激に活動を開始した新たなランサムウェア「Locky」については、以前のブログでもお伝えしました。不正なWord Macroファイルをメールに添付して拡散し、日本語での脅迫文を感染PCのデスクトップに表示する事で知られているランサムウェアです。
これはさらに別のランサムウェアの活動「Nemucod」に利用されることが知られており、その活動をさらに広げるものと予想されています。
同じようにLockyのアクティビティを見てみると、2月をピークにこちらも一旦縮小傾向にありました。しかしLockyは活動を始めたばかりの新しいものですので、今後の動向には注意が必要です。


図2: Lockyのアクティビティトレンド (2015/2/1 - 2016/4/22)

Cerber

我々は更に新しい傾向を発見しました。それは「Cerber」と呼ばれる新たなランサムウェアの活動です。これは2016年3月から活発な活動を開始したようで、既に日本でもそのアクティビティが観測されており、世界中でもその活動が多く見られる国の一つに数えられています。


図3: Cerberのアクティビティトレンド(2015/2/1 - 2016/4/22)


図4: Cerberの活動分布図、日本も活発な活動地域の一つに

我々は早速このランサムウェアのサンプルを入手し、それをWindows環境で実行してみました。実行直後にその実行ファイル自体は自身で削除を行い、一般的なランサムウェアと同様にPCに保存されている様々なファイルの暗号化を自動的に実施し、脅迫文をポップアップさせます。
このCerberが他と違って特徴的なのが、データの暗号化を実行したことを音声で知らせてくれることです。このランサムウェアに感染すると、突然PCから脅迫メッセージが鳴り響くわけです。驚きと恐怖を感じると同時に、サイバー犯罪に巻き込まれたことを周りから隠すことは出来ないかもしれません。


図5: 暗号化されたファイルは拡張子.cerberが付与される


図6: Cerberのランサムウェア実行直後に表示される脅迫メッセージ


図7: データの暗号化を実行した事を音声で知らせるVBスクリプト

Fortinetの対応

FortiGate、FortiMail、FortiWeb、FortiSandbox、FortiClientのアンチウィルス機能で、以下の様なシグネチャや検出結果で当該マルウェアを検知・ブロックします。"Cerber"等と名前はつけられてはいませんが、Fortinetの特許技術であるCPRLによって特徴的なマルウェアの悪意ある振る舞いを検出する事が出来るため、W32/Genericの様な一般的なCPRLシグネチャによって同様のコードを利用した未知の亜種を検知・ブロックする事ができます。

  • W32/Generic.AC.3405700
  • W32/Kryptik.ETWP!tr
  • W32/Kryptik.EPMF!tr
  • Malicious_Behavior.VEX.99

FortiGateのアプリケーションコントロール機能で、Cerberの活動が利用するBotnetプロトコルをCerber.Botnetとして検知・ブロックする事が出来ます。

また、単純にアンチウィルス等の機能だけを有効にするだけではなく、多層防御によるプロテクションを実施し、様々なベクトルから侵入・拡散・コントールを行う高度な攻撃からシステムや組織を保護することをFortinetは推奨しています。
ゲートウェイの保護だけではなく、暗号化通信やUSBメモリなどからその侵入を防ぐためにもFortiClientの様なエンドポイントセキュリティは重要ですし、システム内での感染活動や外部とのC&C通信を防ぐためにも内部セグメントファイアウォール(ISFW)ウェブフィルタ機能は重要です。

関連記事

本記事の内容に関するお問い合わせ先

FortiGuard Labs in Japan
fortiguard_jp@fortinet.com