FBI(米連邦捜査局)は今年5月、ProLockへの注意を喚起するフラッシュレターを発出しました。今年3月の時点でアメリカの医療、政府、金融の各機関や小売事業者など複数の組織のコンピューターがProLockに感染していたということです。ProLockとは何か?
PwndLockerにかわって今年3月に登場
イギリスに拠点を置くセキュリティベンダーのソフォスによると、ProLockは2019年後半に登場したランサムウェアPwndLockerの後継となるランサムウェアです。ランサムウェアはデータを「人質」にとって金銭を要求する犯罪ツールですが、PwndLockerは「人質」にとったはずのデータが身代金の支払いがなくても復旧できてしまうという、犯罪者側から見たら致命的な欠陥があったため短期間で配布が終了しました。
ProLockはPwndLockerにかわって今年3月に登場しました。ProLockはPwndLockerの「欠陥」を修正したランサムウェアのようですが、このランサムウェアは、例え要求に応じてもデータが正常に復旧しない実態があることからFBIがフラッシュレターを出して注意を呼びかける事態となりました。「攻撃者から提供されるキーは正常に実行されません。64MBより大きなファイルは破損する可能性があり、100MBを超えると1KBあたり1バイトを棄損する恐れがあります」とFBIはレターに記しています。また、ソフォスによるとProLock は、PowerShellスクリプトにより実行可能ファイルがメモリにロードされて実行されるということです。
ディボールド・ニクスドーフは、ATM(現金自動預け払い機)などの販売、製造、設置、保守などを手がけているアメリカ・オハイオ州を拠点に置く大手企業です。ディボールド・ニクスドーフの企業ネットワークに異常な動作のあることを同社のセキュリティチームが発見したのは今年4月25日のことでした。調査の結果、企業ネットワークがProLockに感染していたことが判明し、さらにProLockがコンピューターにアクセスする手段の一つとしてQakBotを介して感染していたことがわかりました。QakBotは2008年から確認されているデータを搾取するマルウェアです。
活動を再開したEmotetからQakBot感染
ところで今年2月以降、鳴りを潜めていたEmotetが7月に入って活動を再開したことから国内においてもJPCERT/CCなどが注意を喚起しています。Emotetに感染するとEmotetがドロッパーとなってTrickbotを投下し、さらにランサムウェアのRyukが展開されるという流れのあることがわかっていますが、EmotetがQakBotを配布するケースもこれまでにあったようです。
そして、7月に活動を再開したEmotetにおいては従来のTrickbot ではなくQakBotを配布していることが明らかになっています。Emotetがドロッパーとなって配布するマルウェアがTrickbotからQakBotへどうして変更されたのか、また、投下されたQakBotがProLockを展開しているのかどうかなどは情報がなく不明ですが、IPA(情報処理推進機構)は海外で被害が多発しているランサムウェアへの警戒を呼びかけています。サイバーセキュリティの専門家によると、Emotet、Trickbot、QakBotはいずれもロシア語を使うハッカーグループにリンクしており、ロシアを拠点にしたサイバー犯罪グループが一連の活動の背景にあるとの見方が有力です。
■出典
https://krebsonsecurity.com/2020/05/ransomware-hit-atm-giant-diebold-nixdorf/
https://www.group-ib.com/blog/prolock
https://www.jpcert.or.jp/newsflash/2020072001.html
https://www.ipa.go.jp/security/announce/20191202.html#L12
https://bomccss.hatenablog.jp/entry/emotet-2
https://cyware.com/news/emotet-replaced-trickbot-with-qakbot-within-one-day-of-emergence-a1c1f289