JS ファイルで拡散する BlueCrab ランサムウェア、配布を中止？

JS ファイル形式で拡散する BlueCrab(Sodinokibi、REvil)ランサムウェアが2021.07.13から配布が中断している。これまでに一定の期間配布を中断した後、変形を作って配布していた履歴が多数存在するが、このように長期間配布を中断した事例はなかった。

BlueCrab ランサムウェアはファイルのダウンロードに偽装したフォーラムページを通じて配布され、JS ファイルをダウンロードして実行時に C2 を通してダウンロードされるスクリプトが実行され、ランサムウェアに感染するという構造である。

韓国国内のユーザーをターゲットとし、当社アンチウイルス製品を狙って変形が作られ続けてきたため、重点的なモニタリング対象であった。そこで ASEC 分析チームでは自動化されたモニタリングシステムを構築し、変形が発生した場合に迅速に対応しており、このブログでもこれに関連した様々な情報を多数掲載している。

• 新たに変形して拡散している JS.BlueCrab ランサムウェア
• 検出回避を実行し続けている BlueCrab ランサムウェア
• BlueCrab ランサムウェア、企業環境では CobaltStrike ハッキングツールをインストール

これらの BlueCrab ランサムウェアの拡散は、2021.07.13以降、不正なページへのリダイレクトが行われていない。そのため、不正なスレッドにアクセスすると従来とは異なり、スレッド本文がそのまま表示される。

最終の配布日のサンプルを基準として、現在 C2 からは何の応答もなく、感染時に確認できるランサムページも接続が不可能な状況である。ランサムページのドメインのうち onion ドメインではなく「decoder.re」も、現在 DNS クエリに応答がない。

海外でも最近発生した米国企業のサプライチェーンへの攻撃、およびランサムウェア感染事件の発生後、ダークウェブ上で BlueCrab(REvil)ランサムウェアに関連する Web ページがすべてシャットダウンしたと報道する中、今回の配布中断という状況も、これと関連があるものと推定される部分である。

ただし、攻撃者が正常な Web サーバーを奪取して公開していた数万個の不正なスレッドはそのまま残っている状態であるため、いつでも配布が再開される可能性があることに注意しなければならない。

過去約1年間の検知ログを解析した結果、多く検知されるキーワードは以下の通りである。ユーザーは主にゲーム、ユーティリティ等をダウンロードしようとしてランサムウェアファイルをダウンロードしてしまう。BlueCrab の配布は現在中断されている状態だが、これと近い方式で配布されるマルウェアの拡散事例も増えているため、ユーザーの注意が必要である。

[IOC 情報]

• http[:]//www.archivalladolid.org/web/%ED%95%9C%EA%B8%80-%EC%9B%8C%EB%93%9C-%EB%AC%B4%EB%A3%8C-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C/
• http[:]//www.mict.it/?p=14023
• http[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion
• http[:]//decoder.re