Royalランサムウェアは、2022年9月頃に初めて出現したマルウェアです。このランサムウェアの背後にいるのは、悪名高い脅威アクターContiのサブグループであると考えられます。Conti Team 1と呼ばれるこのサブグループは、Zionランサムウェアをリリースした後、Royalランサムウェアとしてリブランドしました。
Royalが急速に拡散したのは、2022年11月にLockBitランサムウェアを抜いて、最も多くの被害者を出したランサムウェアとなったためです(図A )。
図A
ジャンプ先:
- Royalランサムウェアの配信手法
- Royalランサムウェアの標的
- VMware ESXiを標的とする新たなLinuxの脅威
- Royalランサムウェアの脅威から身を守る方法
Royalランサムウェアの配信手法
Cyble Research & Intelligence Labs によると、Royal ランサムウェアは複数の方法で拡散しており、最も一般的な手法はフィッシングです。
このマルウェアは、2022年11月に保険会社At-Bayによって報告されており、Citrixの脆弱性(CVE-2022-27510)を悪用し、Citrix ADCまたはCitrix Gatewayを搭載したデバイスにアクセスしてランサムウェア攻撃を実行した最初のランサムウェアである可能性が高いとされています。この脅威アクターは、公開されているエクスプロイトよりも前にCitrixの脆弱性を利用しており、このランサムウェアグループが最も洗練されたランサムウェア脅威アクターの1つであることを示しています。
Royal ランサムウェアは、QBot や BATLOADER などのマルウェア ダウンローダーによって拡散される可能性もあります。
企業の連絡フォームもランサムウェアの拡散に利用されました。脅威アクターはまず標的の連絡フォームで会話を開始し、メールで返信があると、BATLOADERへのリンクを含むメールを標的に送信し、最終的にRoyalランサムウェアを実行します。
Royalランサムウェアは、Google広告経由で配布されたり、Microsoft TeamsやZoomなどの正規のソフトウェアを装った偽ソフトウェアのインストールを通じて配布されたりもしています。これらのソフトウェアは、正規のソフトウェアに見える偽ウェブサイトでホストされています。Microsoftは、Royalランサムウェアを展開するBATLOADER実行ファイルを配信する偽のTeamViewerウェブサイトについて報告しました(図B)。
図B
正規のソフトウェアを偽装した仮想ハード ディスクなどの珍しいファイル形式も、Royal ランサムウェアの第一段階のダウンローダーとして使用されています。
Royalランサムウェアの標的
Royal ランサムウェアの標的となった業界の中で最も影響を受けているのは、製造業、専門サービス業、食品・飲料業です (図 C )。
図C
これらの業界の所在地についてみると、Royal ランサムウェアは主に米国を標的にしており、次いでカナダとドイツとなっています (図 D )。
図D
このグループが要求する身代金の金額範囲は、標的に応じて 25 万ドルから 200 万ドル以上まで異なります。
VMware ESXiを標的とする新たなLinuxの脅威
Cybleが報告した新たなRoyalランサムウェアのサンプルは、GNU Compiler Collectionを使用してコンパイルされた64ビットLinux実行ファイルです。このマルウェアはまず暗号化テストを実行し、失敗した場合はマルウェアを終了します。これは単に「test」という単語を暗号化し、結果を確認するというものです。
参照: VMware ESXi を標的とした大規模なランサムウェア攻撃 (TechRepublic)
次に、悪意のあるコードは、esxcli コマンドライン ツールを使用して実行中の VMware ESXi 仮想マシンに関する情報を収集し、出力をファイルに保存してから、もう一度 esxcli ツールを使用してすべての仮想マシンを終了します。
ランサムウェアはマルチスレッド処理を用いてファイルを暗号化しますが、ランサムウェア自身のファイル(readmeファイル、royal_log_*ファイル、.royal_uおよび.royal_w拡張子のファイルなど)は暗号化されません。また、.sf、.v00、.b00拡張子のファイルも暗号化されません。暗号化にはRSAとAES暗号化アルゴリズムの組み合わせが使用されます。
マルウェアはデータを暗号化しながら、並行プロセスで身代金要求メッセージを作成します (図 E)。
図E
Royalランサムウェアの脅威から身を守る方法
脅威アクターは企業への侵入とRoyalランサムウェアの展開に様々な手法を用いるため、複数の感染経路を確保する必要があります。さらに、脅威アクターは既にソフトウェア上で未公開のエクスプロイトをトリガーできることを実証しているため、すべてのオペレーティングシステムとソフトウェアを常に最新の状態に保ち、パッチを適用する必要があります。
メールは企業への侵入に最もよく使われる手段であり、Royalランサムウェア集団も例外ではありません。そのため、Webサーバーにはセキュリティソリューションを導入し、管理者はメールに含まれるすべての添付ファイルとリンクに悪意のあるコンテンツが含まれていないか確認する必要があります。このチェックは、自動化された静的分析だけでなく、サンドボックスを介した動的分析も行う必要があります。
Royal ランサムウェア集団はマルウェアを拡散するために新しい偽の Web サイトを使用することがあるため、ブラウザーのコンテンツを分析し、不明な Web サイトや評判の低い Web サイトの閲覧をブロックする必要があります。
データのバックアップ プロセスを確立し、定期的にバックアップを実行しながらもオフラインで維持する必要があります。
最後に、従業員、特に広報や人事など、不明なソースからの電子メールを操作する従業員は、このランサムウェアの脅威について認識しておく必要があります。
次に読む: セキュリティ意識向上とトレーニングポリシー (TechRepublic Premium)
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
