当サイトでのEmotet関連の記事に関するアクセスが多く、いかにEmotet(エモテット)が猛威を振るっているかを認識したのですが、より怖いのは、Emotetに感染し、そこから他のマルウェアやRyuk(リューク)などの身代金型ランサムウェアなど、より凶悪なマルウェアに感染してしまうことです。
三井物産セキュアディレクションのRyukに関する記事では、Ryukの仕組みや動作などがより詳しく書かれておりますので、ぜひご覧ください。
また、ITMedia エンタープライズにも紹介されており、
- Ryukに感染したシステムからは、大抵の場合、「Trickbot」「Emotet」といった別のマルウェアも見つかっている
- Ryukの攻撃が始まると、システムを横断してファイルが暗号化され、「.ryk」の拡張子が付いたファイルに置き換えられる。各フォルダには、身代金を要求する「RyukReadMe」という文書が現れる。バックアップからの復旧を難しくする手口も実装
- システムをマルウェアから守り、身代金を支払ったとしてもデータが戻るとは限らないという認識を持つ(戻るケースもあるが、他サイトの情報では暗号化を復号するプログラムがいい加減で、正常な復元が出来ないケースもあるという話・・)
という注意喚起がされています。
そして、
Ryukの名称は漫画『DEATH NOTE』に登場する死神の名に由来する。米国では自治体や裁判所などでRyukに感染する被害が相次ぎ、一部の自治体はシステムを復旧するために身代金を支払ったと伝えられている。
という、まさに死神のようなマルウェアです・・・。
Gigazineの記事によると、Ryukに自治体のコンピューターが感染したアメリカ・フロリダ州レイクシティでは、当時約50万ドル相当(1ドル110円として、日本円5千5百万円)での42ビットコインが身代金として犯人に支払われた結果、レイクシティではデータを復号化できたそうですが、行政システムは大混乱となったそうです・・・。IT責任者は解雇されたとのこと。
日本も対岸のことではなく、カスペルスキーのレポートによると、日本でも0.31%ながら活動が報告されているようです。(中国は7.99%)
やはり入り口はEmotet。具体的にどうなったかをGigazineより引用すると、
行政システムがハッキングされたのは「Triple threat」という攻撃手法によるもの。市職員が市に送られてきたメールのリンクを開いたところ、リンク先からダウンロードされたトロイの木馬型マルウェア「Emotet」が市のネットワークに感染。このEmotetがシステムに接続されたPCにランサムウェア「Ryuk」をインストールさせ、PC内のあらゆるファイルが暗号化されてしまったそうです。
この攻撃により、レイクシティの行政システム内にあった合計16TBのデータがロックされ、ほぼ全てのサーバー・電話・電子メールがダウンする事態に陥りました。システムが使えなくなったため、メールや電話による業務連絡はすべて市職員個人の携帯電話やスマートフォンで行い、文書は全て紙に印刷してから市職員が車で運ぶことになりました。もちろん市民も被害を受けており、水道やガス料金の支払いは全て現金か小切手で行わなくてはなりませんでした。ハッキング被害を免れたのは、行政システムとは別のサーバーで運用されていた警察署と消防署のシステムだけだったとのこと。
これが日本で発生したらと考えると恐ろしいのですが、今Emotetが日本で猛威を振るっていること、先ほども書いたRyukの中国での出現を考えると、EmotetがRyukなどの悪質マルウェアを連れてくる可能性もありうるといえましょう。
Ryuk(リューク)の特徴に関して
上記サイトの内容も踏まえ記載すると、
- 現在は海外で流行っている(アメリカ・中国など)
- 5億円を超える(データの)身代金を請求されるケースも
- 2018年夏頃より存在確認
- 2017年2月に出現した「Hermes」というランサムウェアのコードを改変した亜種であり、攻撃対象の企業ごとにカスタマイズされて開発
- 最新のRyukは、ネットワーク上に存在するシャットダウンされたPCを強制的に起動させ暗号化するWake-On-Lan(WOL)による暗号化機能を初めて搭載。つまり、社内・家庭内ネットワーク上のPCなどを強制的に起動させ、イントラ内に繋がっているPCのデータを次々と暗号化してしまう
Emotetだけでも怖いですが、Emotetが入り込んだところにRyukも入り込んできたら、恐ろしいです・・・・。
RyukはEmotetと違い、Wordのマクロファイルではなく.exe(実行型のプログラムファイル)です。
もし、Ryukが管理者権限で実行されると、ブートローダー(PC上の起動に関わるファイル)が暗号化され、PC自体の起動もできなくなります。
そして、全てのフォルダ内にHTMLファイルで脅迫文を生成し、「データを復元して欲しければ、このメールアドレスに連絡しろ」という旨の文言が書かれています。
また、上記のサイトによると、
最新のRyukには、感染端末が韓国の言語圏であるかどうかの確認を示唆するコードが組み込まれています。ただし、このコードはどこからも呼び出されていません。Hermesや初期のRyukにはロシアやウクライナなどの言語圏の端末には感染しない仕組みが組み込まれており、一般的なマルウェアの中にも自国民の端末には感染させないように作り込まれているケースがしばしば見受けられます。ただし、そうした背景を逆手に取って他国が開発したマルウェアであるかのように見せかけ偽装することもまた容易です。
と書かれています。
自国の端末に感染しない仕組みがあるということは、なるほどと感じました。
また、対策としては、
- 管理共有の無効化
- Windowsのファイルとプリンタの共有機能を無効化
- ファイアウォールによるブロック
(すべて少々専門的な話になりますので、前述のMSBDサイト内記事、「標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く」の後半をごらんください)
など、内部のネットワークを制限する形になり、利便性とのトレードオフ的な対策となってしまうので、そもそも感染しないよう、
- Emotetなどマルウェアのゲートウェイになるマルウェアに感染しない
- セキュリティソフト・OSを常に最新に
- 不審なファイルには触らない
という点を心がけることが無難でしょう。
マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた