セキュリティ研究者は、RobbinHoodがどのように変化したか、なぜそれが企業にとって注目すべき脅威であり続けるのかについて詳しく説明しています。
ランサムウェアサービスとしてのRobbinHoodがボルチモア市政府に対する大規模な攻撃に登場してからXNUMX年以上が経過しました。 ランサムウェアは当初は素人で、サイバーセキュリティの専門家の間では洗練されていないと説明されていましたが、それ以降、監視するのを脅かすように変更されています。
NotPetyaの余波で世界的な海運会社を支援し、現在は多国籍のインテリジェンスおよびコンサルティングビジネスに従事している独立研究者のJames Jacksonは、RobbinHoodを分析してその進化を追跡しています。 彼は19のRobbinHoodバイナリを発見し、XNUMXつを確認された攻撃に関連付けました。 調査の結果、彼はRobbinHoodランサムウェアのXNUMXつの異なるバージョンを特定しました。各バージョンは、機能性と成熟度の成長を示しています。
「非常に短い期間で、[RobbinHood]は急速に進歩しました」とJackson氏は言います。 「彼らが非常に短い期間で攻撃をエスカレートおよび洗練し、悪意のあるドライバーでエクスプロイトを開発したという事実は、専門知識と準備を示しています。」
ボルチモアとグリーンビルの都市をターゲットにするために使用されるRobbinHoodのバージョン0.1は、最も単純で洗練されていないと考えられています。 実行を停止する可能性のあるコンピューターサービスを停止し、ローカルファイルを暗号化し、ファイルの返還と引き換えに支払いを要求する身代金ノートを展開するように機能します。 ジャクソン氏によると、それはうるさくて目立つものであり、攻撃者はセキュリティ研究者がサンドボックス内のマルウェアを分析するのを防ぐための大まかな手段しか実装していません。
「バージョンXNUMXのマルウェアの包括的なテーマは、非常に単純化されていて、問題やエラーが多発したことです」と彼は説明します。 にもかかわらず ダメージ それがボルチモアを引き起こした、ロビンフードの初期の分析は「無視するのが困難であった未成年のナイーブ」を明らかにした、と彼は書いた ブログ投稿。 そこから、RobbinHoodには一連の小さな重要な変更が加えられました。
RobbinHoodの攻撃者が改善する動機を与えられた理由はたくさんあります。 0.1つの要因は、回復の容易さでした。 「彼らは、ランサムウェアが洗練されておらずアマチュアであるだけでなく、それがこの企業の収益性に直接的な影響を与えていることに気づきました」とジャクソンは言います。 彼が発見したXNUMXつのビットコインアドレスのうち、XNUMXつはvXNUMXに属しており、資金を含むアドレスはありませんでした。 これは、初期のバージョンが成功しなかったことを示している可能性があります。
バージョン0.2は2019年XNUMX月中旬に登場し、前作よりも少し進んでいます。 このエディションでは、攻撃者はマルウェアの内部から埋め込みテキストを抽出することを困難にしました。 関数名は難読化され、停止するサービスをリストするテキストがエンコードされました。 XNUMXつ目のバージョンも、暗号化の前に実行中のプロセスを強制終了しようとし、Windowsイベントログをクリアする機能がありましたが、Jacksonはこれはランサムウェア攻撃では実行されないようだと指摘しています。
RobbinHoodオペレーターは、埋め込まれたテキストはまだエンコードされていましたが、「RobinHood0.3」フォルダーを参照して2020年2月末に到着し、難読化をやめたバージョンXNUMXを起動するのを長く待ちました。 このバージョンは、イベントログを消去し、パターンマッチングを使用してサービスを検索および停止するように構築されているため、セキュリティソフトウェアの検索と無効化により効果的です。
ジャクソン氏は、削除しない重要なフォレンジックアーティファクトがあるため、イベントログの消去は興味深いと述べています。 これは、彼らが故意に証拠を削除している、またはそれが悪い、または証拠を削除して対応を妨害していることを示している可能性があります。 グループのプロファイリングでは、両方の可能性が重要になる可能性があります。前者は高度な知識がないことを示しています。 後者は強力な「放火犯」の特徴だと彼は付け加えた。
より大きな変更:v0.3からv0.4へ
バージョン0.4はほんの数か月後の2019月下旬に登場しましたが、0.1年のリリース以来、RobbinHoodに最大の変更をもたらしました。 ジャクソンが彼の記事で指摘しているように、v0.4とv23の内部関数を比較すると、XNUMXつのバージョンが同じコードのXNUMX%しか共有していないことがわかりました。
このバージョンは「RobbinHood6.1」と呼ばれるフォルダーを参照し、追加の機能とデザインの改善をもたらしました。 ブロックするサービスとプロセスのハードコーディングされたリストの使用に戻ります。 ただし、このリストは、常にコンピューターにデータを書き込むサービスを停止するように調整されました。 これにより、暗号化の信頼性が向上し、データ損失の可能性が最小限に抑えられます。 バージョン0.3および0.4は、システム上のすべてのユーザーアカウントパスワードの変更も試みます。
ジャクソン氏によると、v0.3とv0.4の間で、RobbinHoodの事業者は、暗号化プロセスを危険にさらす可能性のあるサービスに関心を持つようになりました。 彼らはまた、これを処理するために悪意のあるドライバーを作成して武器にしました。 この間に見られたRobbinHood攻撃は、正当なデジタル署名されたハードウェアドライバーを悪用して セキュリティツールを削除する ファイルを暗号化する前。
グループはデータを解読する能力を示したと彼は付け加えます。 ただし、グループアシスタンスを使用しても解読できない可能性が高くなります。 RobbinHoodの暗号化プロセスでは、公開鍵を使用してランダムに生成されたAES鍵を暗号化し、そのデータをターゲットファイルに攻撃します。 エラーが発生した場合、AESキーは回復できない可能性があります。
v0.4の悪意のある機能のXNUMXつは、暗号化の前にファイルを識別して削除する機能です。 このロジックは一見バックアップを対象としているようです。 ただし、被害者が解読したいデータをキャプチャする可能性があります。 Ryukランサムウェアの攻撃者は手動の戦術を使用してバックアップを削除します、とJacksonは別のグループの戦略の例として指摘します。 ここでの自動化された戦術は比較的効果的ではありません:RobbinHoodは特定の拡張子を持つファイルを探します。 彼らがバックアップの取り扱いを改善すると、身代金を支払うことを余儀なくされる人が増える可能性があります。
「攻撃者の実行は興味深いものであり、バックアップサービスを手動で標的にして破壊するときに、Ryukの攻撃者が行うことの代わりにはなりません。 RobbinHoodの攻撃者は、「ある程度のスキルがありますが、実行方法は比較的効果がありません。」 ジャクソンは、ロビンフード攻撃者が手動でバックアップを特定して削除しようとしたことを示す証拠を見ていません。 彼は、グループが法医学的な証拠を残しておくことに懸念を示していることに注意します。
ジャクソン氏によると、現時点では、ロビンフードの背後にいる人物や、ロビンフードの位置を突き止めるには証拠が不十分だという。 これらの攻撃の仕掛け方にはいくつかのヒントがありますが、オペレーターがコンポーネントや手法を調整してセキュリティ研究者を誤解させることは簡単です。
「帰属に関する大きな問題のXNUMXつは、これらの詳細を故意に配置したり、ブラックフラグ操作を実行したりして、国Yから来たマルウェアが国Xから来たように見せかけるのが非常に簡単なことです」と言います。
関連性のあるコンテンツ:
Kelly Sheridanは、Dark Readingのスタッフ編集者であり、サイバーセキュリティのニュースと分析に焦点を当てています。 彼女は、以前にMicrosoftを担当したInformationWeekと、金融を担当したInsurance&Technologyに報告したビジネステクノロジージャーナリストです… フルバイオグラフィーを見る
推奨書籍:
より多くのインサイト
