AhnLab SEcurity intelligence Center(ASEC)は、2018年に流行したオープンソースに基づいて製作された CryptoWire ランサムウェアが最近も拡散していることを確認した。
CryptoWire ランサムウェアは主にフィッシングメールを通じて配布され、Autoit スクリプトで製作されていることが特徴である。
主な機能
このランサムウェアは「C\Program Files\Common Files」パスに自己複製を行い、持続性維持のためにタスクスケジューラを登録する。
ファイル暗号化の拡張のためにローカルと接続されたネットワーク環境を探索し、デスクトップ画面の domaincheck.txt として保存し、生成されたアカウントを探索する。
さらに、復元防止のためにごみ箱の削除およびボリュームシャドウコピーの削除を実行する。
暗号化されたファイルは[既存ファイル名].encrypted.[既存拡張子]の形式であり、ファイル復号化のためには復号化キーを購入する必要があるとのウィンドウを表示する。
このランサムウェアは、復号化キーを含んでいるという点が特徴である。[図8]のように Autoit スクリプトに復号化キーが含まれていたり、[図9]のように復号化キーを感染したシステムの情報とともに攻撃者サーバーへ転送するタイプが存在する。
復号化キーを確認できるランサムウェアは珍しく、一般的なケースでは復号化が非常に困難なため、ランサムウェア予防のためには出どころが不明なファイルの実行に注意しなければならない。また、疑わしいファイルはアンチウイルスによるスキャン、およびアンチウイルスを最新版にアップデートする必要がある。
[ファイル検知]
– Trojan/Win.Kryptik.C5576563 (2024.01.20.00)
– Ransomware/Win.bcdedit.C5590639 (2024.02.20.00)
[振る舞い検知]
– Malware/MDP.Ransom.M1171
[IoC]
MD5
– cd4a0b371cd7dc9dab6b442b0583550c
– a410d4535409a379fbda5bb5c32f6c9c
C2
– hxxp://194.156.98[.]51/bot/log.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報