暴露型のランサムウエア攻撃において、データを盗み出すことは二重の脅迫につながる重要なステップである。その手口を知れば、データ窃取を防ぐ対策をとれる。今回は、暴露型ランサムウエア攻撃のデータ窃取の手口について解説する。
データ窃取の手口は、大きく「コマンドラインやWebブラウザーによる転送」と「専用ツールによる転送」の2つに分類される(図1)。後者は正規または独自の転送ツールを使う。
転送対象を自動的に選別
まず独自の転送ツールに注目しよう。ランサムウエア攻撃グループが独自に使用する転送ツールの多くに、(1)転送速度の制御による検知回避、(2)並列処理による窃取処理の高速化、(3)ファイルの自動選別、(4)自身のファイルなどを上書きして削除するフォレンジック対策――といった共通点がある。
ここから各攻撃グループの独自ツールを紹介しよう。Conti攻撃グループの前身であるRyuk攻撃グループは、「Ryuk Stealer▼」という独自の転送ツールを使用していた(図2)。このツールは、感染した端末と同じネットワークにあるすべての端末を検索して、転送対象となるファイルを収集する。ファイル名やファイル内部に特定の文字列を含むファイルを探索した後、サイズが50Mバイト未満でかつ、OfficeやPDFといった文書ファイルなどの拡張子を持つファイルを絞り込む。
Ryuk Stealerが探索する特定の文字列とは「secret」や「important」といった重要度が高いと思われる単語だ。米国の社会保障番号のフォーマットと同じ文字列や、米国の新生児の名前ランキング上位に入っている人名も含まれている。こうした文字列を探索するのは、個人情報を含むファイルを選別するためだろう。
Ryuk Stealerは転送対象を絞り込んだ後、1ファイルごとに25秒前後待機しながらFTP▼サーバーに転送する。この待機処理は、通信量の急激な変化を検知する監視を回避するためとみられる。
