新手のランサムウェアがWindowsとLinuxを攻撃、Javaイメージファイルを悪用

セキュリティの研究者が最近発見した新種のランサムウェアは、あまり知られていないJavaのファイル形式を利用して識別を困難にし、まんまとそのファイル暗号化ペイロードを起爆する。

コンサルティング大手KPMGのインシデント対策グループは、ヨーロッパの某教育機関からランサムウェアに攻撃されたファイルのリカバリを頼まれた。KPMGと提携しているBlackBerryのセキュリティ研究グループがそのマルウェアを分析して、米国時間6月4日に所見を公開した。

BlackBerryの研究者によると、ハッカーはインターネットに接続したリモートデスクトップサーバーを使ってその教育機関のネットワークに侵入。その後、侵入したネットワークに容易にアクセスできるように永続的なバックドアを仕掛けた。ハッカーは発見されるのを防ぐため数日間息を潜めたあと、そのバックドアからネットワークに再侵入し、稼働中のすべてのマルウェア対策サービスを無効にしてランサムウェアをネットワーク全体に拡散、ペイロードを起爆して各コンピューターのファイルを暗号化し、それらを身代金を得るための人質にした。

研究者によると、Javaのイメージファイルの形式、すなわちJIMAGE形式にコンパイルされたランサムウェアモジュールを見るのは、それが初めてだった。そこにはコードを動かすために必要な成分がすべてそろっていて、Javaのアプリケーションのようだったが、それらをスキャンするようなマルウェア対抗エンジンはめったになく、多くの場合、見つかることなく仕事ができる。

BlackBerryはそのランサムウェアを、デコンパイルしたコードにあったフォルダー名にあやかって「Tycoon」と命名した。研究者たちによると、そのランサムウェアモジュールにはランサムウェアをWindowsとLinuxの両方で動かせるコードがあった。

ランサムウェアの仕掛け人は、既製の強力な暗号化アルゴリズムを使って被害者のファイルを撹乱し、身代金を要求することが多い。そして、身代金は仮想通貨で要求されることが多い。多くの被害者にとって、彼らの唯一のオプションは、バックアップがあることを祈るか、身代金を払うかだ。しかし、FBIは相当前から身代金を払うなとアドバイスしている。

しかし研究者によると、身代金を払わずにファイルを回復できる望みはある。Tycoonランサムウェアの初期のバージョンは、同じ暗号化キーを使って複数の被害者のファイルを撹乱している。従って「1つの暗号解読ツールで複数の被害者のファイルをリカバリできるはずだ］と研究者は説明する。しかし新しいバージョンのTycoonには、この弱点がないようだ。

BlackBerryのEric Milam氏とClaudiu Teodorescu氏はTechCrunchの取材に対して、過去6か月間に10以上の、ランダムな攻撃でなく最初から意図的に狙われたTycoonの感染を目撃した、と語った。つまりハッカーは被害者を慎重に選んでおり、とくに教育機関やソフトウェアハウスが狙われることが多い。

しかし、こういう場合の常として、実際の感染数はずっと多いだろう。

関連記事：As ransomware gets craftier, companies must start thinking creatively（ますます狡猾なランサムウェアにはクリエイティブな対応が必要、未訳）