世界最大の天然ガスの生産・供給企業であるロシアのGAZPROM(ガスプロム)を名乗るランサムウェアがあるということです。身代金を要求する脅迫文にはプーチン大統領とみられるアスキーアートが施されているようです。
Contiランサムウェアのコードを再利用
サイバーセキュリティ企業のセンチネルワンのレポートによると、GAZPROMランサムウェアは今年3月に登場したランサムウェアで、Contiランサムウェアのコードを再利用したペイロードが使用されているということです。センチネルワンはGAZPROMランサムウェアの攻撃者やキャンペーンの背後には地政学的な傾向や動機があると考えられると指摘しています。
Contiは2022年5月に閉鎖されたロシアとの結びつきが指摘されているランサムウェアです。2022年2月にロシアがウクライナに軍事侵攻した際、ロシアへの支持を表明したことを契機に内部暴露が起き、その後、閉鎖された経緯があります。Contiランサムウェアは2020年5月に最初に確認され、二重恐喝型のRaaS型ランサムウェアとして2年間にわたり猛威を振るいました。フラッシュポイントによると、Contiの標的となった組織には、日本の音響機器メーカーJVCケンウッド、アイルランドの公的な保健サービスやコスタリカ政府などがあります。Ryukランサムウェアとの関連も指摘されてきました。
Contiランサムウェアは閉鎖されましたが、そのメンバーは引き続き活動を続けている実態があります。GAZPROMランサムウェアはContiランサムウェアのコードを再利用し、ロシア企業の名前を名乗り、脅迫文にはプーチン大統領とみられるアスキーアートが施されているということですから。ロシアに関連するランサムウェアのような印象を受けますし、あるいはContiの元メンバーが仕掛けている新しいランサムウェアなのかもしれません。
ロシア国内の組織もターゲット?
しかし、犠牲者はロシアの内外に渡っているとの指摘もあることから、ロシア国内の企業や組織にも被害が出ている可能性があるようです。Contiをはじめロシアとの関係が指摘されているランサムウェアの多くはロシア語圏を標的としないシステムとなっているようですから、ロシアでも被害が出ているとなるとContiと関係するメンバーがGAZPROMランサムウェアを運用しているとは考えにくい気もします。あるいは2022年2月に起きた内部暴露ではContiのコードも流出したということですから、流出したコードを何者かが再利用してロシア国内を含む組織をターゲットにしているのかもしれません。GAZPROMランサムウェアによる被害はかなり出ているようなのですが、詳しい情報がほとんど出ていない謎めいたランサムウェアです。
センチネルワンによると、GAZPROMランサムウェアの初期アクセスは公開されている脆弱性を悪用して行われるということです。また、ペイロードはSLEEPステートメントを介して分析を回避しようとするということです。そしてWMIC.EXE 経由でボリューム シャドウ コピー (VSS) を削除しようとするということです。GAZPROMランサムウェアによって暗号化されたファイルの拡張子は.GAZPROMとなり、身代金メモは暗号化されたファイルを含むすべてのディレクトリに投下されるということです。身代金メモにはプーチン大統領とみられるアスキーアートが付いていて、被害者に対して指定されてチャネル経由で連絡をしてくるように求め、24時間以内に連絡がない場合は身代金を増額すると脅しているということです。
センチネルワンは、同社のSingularity XDRによってGAZPROMランサムウェアによる悪意あるアクティビティを特定してGAZPROMランサムウェアを検出して阻止するとしています。また、Singularity XDRによってGAZPROMランサムウェアを隔離しシステムを回復することも可能だとしています。
■出典