ShrinkLockerと呼ばれる新たなランサムウェアが、サイバー攻撃者によって企業のコンピュータを標的として利用されています。このランサムウェアは、Microsoft BitLockerの暗号化機能を悪用し、ローカルドライブ全体を暗号化し、PCをシャットダウンする前に回復オプションを削除します。ShrinkLockerはサイバーセキュリティ企業Kasperskyによって発見され、アナリストはメキシコ、インドネシア、ヨルダンで亜種の存在を確認しています。
BitLockerは過去にランサムウェア攻撃に使用されたことがあるが、今回の亜種は「攻撃による被害を最大化するための、これまで報告されていない機能」を備えているとカスペルスキーはプレスリリースで述べている。ShrinkLockerの特徴は、デバイスのWindowsオペレーティングシステムのバージョンをチェックし、適切なBitLocker機能が有効になっていることを確認する一方で、有効になっていない場合は自身を削除する点にある。
カスペルスキー グローバル緊急対応チームのインシデント対応スペシャリスト、クリスチャン・ソウザ氏はプレスリリースで次のように述べています。「今回の件で特に懸念されるのは、本来データの盗難や漏洩のリスクを軽減するために設計されたBitLockerが、悪意ある目的のために悪用されていることです。セキュリティ対策がこのように武器化されているというのは、皮肉なことです。」
ShrinkLocker 攻撃に対して脆弱なのは誰ですか?
これまでに、鉄鋼やワクチン製造の企業、そして政府機関がShrinkLockerの標的となっています。しかし、ソウザ氏はTechRepublicに対し、被害者は様々な国や業種に及んでいるため、「このグループが特定の業界を狙っていると信じる証拠はない」と述べています。
BitLockerは現在、WindowsオペレーティングシステムのPro、Enterprise、Education、Ultimateエディションでのみ利用可能ですが、今年後半にリリースされるWindows 11 24H2では、すべてのバージョンに搭載され、自動的に有効化される予定です。これにより、ShrinkLockerの被害に遭う可能性が大幅に高まります。
「被害者が適切な予防的および事後的な対策を講じていない場合、ShrinkLockerによる感染は深刻な事態を招く可能性があります」とソウザ氏は付け加えた。「BitLockerはWindowsのネイティブ機能であるため、Windows Vista以降またはServer 2008以降を搭載したあらゆるマシンが影響を受ける可能性があります。」
ShrinkLocker はどのように機能しますか?
ShrinkLocker はターゲットを暗号化した後に自動的に削除されますが、Kaspersky のアナリストは、感染していても BitLocker が設定されていない PC のドライブに残されたスクリプトを調査することで、その仕組みを解明することができました。
攻撃者は、未修正の脆弱性、盗難された認証情報、またはインターネットに接続されたサービスを利用してサーバーにアクセスし、ShrinkLockerをデバイスに展開する可能性があります。また、ユーザーがフィッシングメール内のリンクなどを通じて、意図せずスクリプトをダウンロードしてしまう可能性もあります。
「標的のシステムにアクセスできるようになると、攻撃者は情報を盗み出し、最終的にランサムウェアを実行してデータを暗号化しようとします」とソウザ氏はTechRepublicに語った。
スクリプトが起動されると、Windows Management Instrumentation拡張機能とWin32_OperatingSystemクラスを使用して、デバイスのオペレーティングシステムとドメインに関する情報を照会します。デバイスがWindows XP、2000、2003、またはVistaで動作している場合、または照会されたオブジェクトの現在のドメインがターゲットと一致しない場合、スクリプトは自身を削除します。
参照: 暗号化された BitLocker ドライブを回復する簡単な方法はありますか?
ただし、PCがWindows 2008以前を使用している場合、スクリプトはローカルの固定ドライブのサイズ変更に進みます。このスクリプトは、ブートパーティション以外のパーティションを100MB縮小して未割り当てのディスク領域を作成します。そのため、このスクリプトはShrinkLockerと呼ばれています。この未割り当て領域に新しいプライマリパーティションが作成され、ブートファイルが再インストールされます。これにより、被害者は暗号化されたファイルを使用してシステムを再起動できるようになります。
次に、スクリプトはWindowsのレジストリエントリを変更し、リモートデスクトッププロトコル接続を無効化し、PIN入力などのBitLocker設定を強制します。さらに、ブートパーティションの名前を攻撃者のメールアドレス(onboardingbinder[at]proton[dot]meまたはconspiracyid9[at]protonmail[dot]com)に変更し、既存のBitLockerキープロテクターを置き換えて復元を防止します。
ShrinkLocker は、次の要素のランダムな乗算と置換を使用して、新しい 64 文字の暗号化キーを作成します。
- 0 から 9 までの数字を持つ変数。
- 英語のアルファベットのすべての文字(小文字と大文字)を含むパングラム「The quick brown fox jumps over the lazy dog」。
- 特殊文字。
その後、デバイス内のすべてのドライブでBitLocker暗号化を有効にします。ShrinkLockerは感染したPCのローカルの固定ドライブのみを暗号化し、検出を回避するのに役立つ可能性のあるネットワークドライブには感染しません。
64文字のキーと一部のシステム情報は、ランダムに生成された「trycloudflare[dot]com」のサブドメインへのHTTP POSTリクエストを介して攻撃者のサーバーに送信されます。これはCloudFlareの正規のドメインであり、開発者がCloudFlareのDNSにサイトを追加することなくCloudFlare Tunnelをテストするために使用することを目的としています。攻撃者はこれを悪用して、実際のアドレスを隠蔽します。
最後に、ShrinkLockerはスクリプトとスケジュールされたタスクを自動削除し、ログを消去し、ファイアウォールをオンにしてすべてのルールを削除してから、強制的にシャットダウンします。ユーザーがデバイスを再起動すると、BitLockerの回復画面が表示されますが、回復オプションは表示されません。つまり、PCのデータはすべて暗号化され、ロックされ、アクセス不能になります。
攻撃者の電子メールが記載された新しいドライブ ラベルには、ユーザーに連絡するように指示されており、復号キーに対する身代金の要求を暗示しています。
カスペルスキーのアナリストは、技術分析において、ShrinkLocker攻撃の検知と復号プロセスの両方を「困難」と表現しています。特に後者は、悪意のあるスクリプトに影響を受けるシステムごとに異なる変数が含まれているため、非常に困難です。
ShrinkLocker 攻撃の責任者は誰ですか?
カスペルスキーの専門家は、ShrinkLocker攻撃の発信元や、復号鍵などのデバイス情報がどこに送信されるのかを今のところ特定できていません。しかし、マルウェアのスクリプトから攻撃者に関するいくつかの情報を読み取ることは可能です。
アナリストらは、VBScript で書かれたこのスクリプトは「この攻撃に関与した悪意のある人物が Windows の内部を非常によく理解していることを示している」と述べた。
BleepingComputerによると、攻撃者のメールアドレスを含むラベルは、感染したデバイスが管理者によってリカバリ環境または診断ツールで起動された場合にのみ表示されます。さらに、BitLockerのリカバリ画面にはカスタムメモを追加できますが、攻撃者は意図的にメモを作成しませんでした。
攻撃者が意図的に連絡を困難にしていたように見えるという事実は、彼らの動機が金銭的利益ではなく混乱と破壊であることを示唆している。
「今のところ、非常に熟練したグループと対峙していることは分かっています」とソウザ氏はTechRepublicに語った。「私たちが分析できたマルウェアは、攻撃者がオペレーティングシステムの内部構造と様々な環境寄生型ツールを深く理解していることを示しています。」
企業はどのようにして ShrinkLocker から身を守ることができますか?
Kaspersky は、ShrinkLocker 感染からデバイスを保護したい企業に次のようなアドバイスを提供しています。
- 暗号化前に潜在的な悪意のあるアクティビティを検出するには、堅牢で適切に構成されたエンドポイント保護プラットフォームを使用します。
- 管理された検出と対応を実装して、脅威を積極的にスキャンします。
- BitLocker に強力なパスワードが設定され、回復キーが安全な場所に保存されていることを確認します。
- ユーザー権限を業務遂行に必要な最小限のものに制限します。これにより、権限のないユーザーが暗号化機能を有効にしたり、レジストリキーを勝手に変更したりすることがなくなります。
- 感染したシステムはパスワードやキーを攻撃者のドメインに送信する可能性があるため、ネットワーク トラフィックのログ記録と監視を有効にして、GET 要求と POST 要求の両方をキャプチャします。
- VBScript および PowerShell 実行イベントを監視し、ログに記録されたスクリプトとコマンドを外部リポジトリに保存して、ローカル レコードが削除された場合でもアクティビティを保持します。
- 頻繁にバックアップを作成し、オフラインで保存してテストしてください。
これまで BitLocker はどのように標的にされてきましたか?
BitLockerは、ShrinkLockerが登場するずっと以前から、過去に何度も攻撃者の標的となってきました。2021年には、ベルギーのある病院で、攻撃者がBitLockerを悪用したことにより、40台のサーバーと100TBのデータが暗号化され、手術の遅延や患者の他の施設への転院につながりました。
翌年、別の攻撃者がロシア最大の食肉供給業者の1社を同じ方法で標的にしましたが、その後マイクロソフトは、イラン政府が復号キーに数千ドルを要求するBitLockerベースのランサムウェア攻撃を複数回支援していたと報告しました。
