2019年5月31日、GandCrabランサムウェアの背後にいるサイバー犯罪者は、マルウェアの世界では珍しいことを行った。彼らは業務を停止し、数百万ドルをテーブルに残す可能性があると発表したのだ。
悪名高いサイバー犯罪フォーラムに掲載された自己満足の投稿に、彼らは「すべての良いものには終わりが来る」と書いた。2018年1月の開始以来、GandCrabの作者は不正な身代金支払いで20億ドル以上をもたらしたと主張し、"当然の引退 "の時が来たと述べた。
「私たちはこの金を換金し、現実でもインターネット上でもホワイトビジネスのさまざまな領域で合法化することに成功した。"我々は悪事を働いても報復は来ないことを証明した"
ランサムウェアの拡散に協力し、利益の一部を得ていた提携パートナーは、被害者に「今すぐ支払わないと、暗号化されたデータを永遠に失うことになる」と言われながら、業務を停止するよう促された。
この投稿の最後には、アフィリエイト・コミュニティーのみんなへの "すべてのハードワーク "に対する感謝の言葉で締めくくられている。
面白い謙遜な自慢話ではあるが、いくつかの疑問が残っている。GandCrabのクリエイターたちは、彼らが言うほど実際に稼いだのだろうか?彼らはいったい何者で、本当に引退するのだろうか?さらに重要なことは、GandCrabランサムウェアはまだ消費者にとって脅威なのだろうか?
この記事では、これらの長引く疑問のすべてに答え、被害者のためのリソースを提供し、GandCrab.fの物語にエピローグを置くことを試みる。
GandCrabとは?
2018年1月に初めて確認されたGandCrabランサムウェアは、被害者のファイルを暗号化し、データへのアクセスを取り戻すために身代金の支払いを要求するマルウェアの一種です。GandCrabは、MicrosoftWindows実行しているPCを持つ消費者や企業を標的としています。
性感染症のような響きを持つ「GandCrab」のような名前は、ランサムウェアの感染性やビジネスネットワーク全体に広がる性質と関係があると思われるかもしれない。しかしZDNetによると、GandCrabの名前は、オンライン上で "Crab "または "Gandcrab "というハンドルネームを名乗る作成者の一人に由来している可能性があるという。
GandCrabはロシアや旧ソビエト連邦のマシンには感染しないため、作者または作者がこの地域に拠点を置いていることを強く示している。GandCrabのメンバーについては、他にはほとんど知られていない。
GandCrabは、別名Ransomware-as-a-Service(RaaS)と呼ばれるアフィリエイト・マーケティングのビジネスモデルに従っており、低レベルのサイバー犯罪者が新たな被害者を見つけるという重労働を行う一方で、脅威の作者は自由にその創造物をいじり、改良することができます。
合法的なビジネスは常にアフィリエイトモデルを採用している。例えば、ヘッドフォン、スマートフォン、ラップトップ、コンピューターなどの電子機器をレビューするブログを持っているとしよう。各レビューには、訪問者がAmazonその商品を購入できるようにするユニークなリンクが含まれています。顧客をAmazon 誘導する代わりに、あなたはpurchase priceパーセンテージを得ることができます。
GandCrabに適用されるように、脅威の作者は自分たちの技術を他の進取の気性に富んだサイバー犯罪者(つまりアフィリエイト)に提供します。そこからどうやって新しい顧客(つまり被害者)を見つけるかはアフィリエイト次第だ。支払われた身代金は、アフィリエートとGandCrabクルーで60/40、トップ・アフィリエートでは70/30という高い割合で分配されます。
サイバーセキュリティ・ジャーナリストのブライアン・クレブスによれば、あるトップは1ヶ月間で125,000ドルのコミッションを得たという。
アフィリエイトモデルを利用することで、技術的なノウハウに乏しい犯罪者でもランサムウェアの活動に参加することができる。また、低レベルの犯罪者がマシンの発見と感染を担当することで、GandCrabの作成者はソフトウェアの改訂、新機能の追加、暗号化技術の向上に集中することができる。GandCrabには全部で5つの異なるバージョンが存在する。
感染すると、身代金のメモが被害者のコンピュータの目立つところに置かれ、ダークウェブ上のウェブサイトに誘導される。 Dark Web(特別なブラウザを使わないと見られないウェブの隠れた部分)に誘導する。
英語版のウェブサイトにランディングすると、被害者は誤字だらけのメッセージ "WELCOME!残念ですが、あなたのファイルはすべて感染しています!"
身代金要求サイトの後のバージョンでは、子供向けアニメ番組『スポンジ・ボブ』のミスター・クラブが登場する。どうやら、サイバー犯罪者は著作権違反をあまり気にしていないようだ。
GandCrabは、身代金の支払いに対する不安を和らげるために、被害者が選択した1つのファイルを無料で復号化できるようにしています。
GandCrabの支払いは、Dashと呼ばれる曖昧な暗号通貨を通じて行われ、その極端なプライバシー重視のため、サイバー犯罪者によって評価されています。身代金の要求額はアフィリエイトによって設定されますが、通常は $600 から $600,000 の間となります。支払いが完了すると、被害者は直ちに GandCrab decryptor をダウンロードし、ファイルへのアクセスを取り戻すことができます。
被害者が身代金の支払いや復号化ツールのダウンロードに関して何か問題がある場合、GandCrab は24時間365日「無料」のオンラインチャットサポートを提供しています。
「GandCrabは、別名Ransomware-as-a-Service (RaaS)と呼ばれるアフィリエイトマーケティングのビジネスモデルに従っており、低レベルのサイバー犯罪者が新たな被害者を見つけるという重労働をこなす一方で、脅威の作者は自由にその創造物をいじり、改良することができる。
GandCrabの歴史は?
ランサムウェアが最近の発明だと考えるのは間違いだ。実際、GandCrabを含むすべてのランサムウェアは、30年前に初期のコンピュータ・ウイルスによって設定された基本的なテンプレートに従っている。
最初のランサムウェアの原型は1989年、文字通り被害者の郵便受けに届いた。エイズ・コンピューター・ウイルスとして知られるエイズは、5.25インチのフロッピー・ディスクを郵便で被害者に送ることで広まった。そのディスクには「AIDS Information」というラベルが貼られ、エイズウイルス(生物学的なもの)に感染するリスクを測定するための簡単なアンケート調査が含まれていた。
アンケートを読み込むとウイルスが起動し、その後89回起動するとウイルスは休眠状態になる。90回目にコンピュータを起動すると、被害者は "あなたのソフトウェア・リース "の支払いを要求する画面上の通知を目にすることになる。被害者が自分のファイルにアクセスしようとすると、ファイル名がすべてスクランブルされていた。
身代金の支払いはパナマの私書箱に送られ、その見返りに被害者は準暗号化を解除する「更新ソフトウェア・パッケージ」を受け取ることになっていた。
GandCrab をはじめとする最新のランサムウェアの脅威は、エイズ・コンピュータ・ウイルスの時代からその手口は比較的変わっていません。唯一の違いは、今日のサイバー犯罪者は、消費者を標的にし、感染させ、被害者にするための高度なテクノロジーの膨大な武器を持っているということです。
2018年1月に初めて確認されたとき、GandCrabは悪意のある広告(別名malvertising)や侵害されたウェブサイトが提供する偽のポップアップを通じて拡散しました。悪意のあるサイトにランディングすると、被害者は画面上のアラートを受け取り、不足しているフォントをダウンロードするよう促される。そうすることで、ランサムウェアがインストールされる。
フォント感染キャンペーンと同時に、GandCrabは、ハッキングされたコンピュータのボットネット(ボットネットはDDoS攻撃にも使用される)から吐き出されたマルウェア満載の電子メール添付ファイル(別名マルスパム)によっても拡散した。ソーシャル・エンジニアリングの手口の教科書的な例として、これらのメールには "Unpaid invoice #XXX "という件名が記載されていた。恐怖心、好奇心、または欲望に突き動かされた被害者は、メールと添付されたマルウェア満載の "請求書 "を開封した。
しかし、GandCrabは、その短期間でありながら破壊的な動作の大部分において、エクスプロイトキットとして知られるものを介して、1台のコンピュータから次のコンピュータへと拡散するのが一般的です。エクスプロイトとは、ターゲットシステムの弱点や脆弱性を利用して、そのシステムに不正にアクセスするサイバー攻撃の一種です。エクスプロイト・キットは、1つまたは複数のエクスプロイトを利用するために設計された、さまざまな技術のプラグアンドプレイ・パッケージです。
Malwarebytes Labs チームは、GandCrabの拡散に少なくとも4つの異なるエクスプロイトキットが使用されていることを報告しました:
- RIGおよびGrandSoftエクスプロイトキットにより配布されるGandCrabランサムウェア(更新)
- VidarとGandCrab:ステッカーとランサムウェアのコンボが野生で確認される
- MagnitudeエクスプロイトキットがGandCrabランサムウェアに切り替わる
2018年2月、GandCrabが最初に野生で発見されてから1ヵ月後、サイバーセキュリティ企業Bitdefenderは無料のGandCrab復号化ツールをリリースした。これによりGandCrabの作者は、新しい暗号化技術を搭載したランサムウェアの新バージョンをリリースすることになった。現状では、復号化ツールの最新バージョンはGandCrabバージョン1、4、5.01、5.2で動作する。今日に至るまで、GandCrab バージョン 2 と 3 に対応する無料の復号化ツールはありません。
2018年10月、シリア内戦の被害者が、死んだ子供たちの写真を暗号化したGandCrabの作成者を「無情」と罵った。これに対し、GandCrabのスタッフはシリアに所在するGandCrabの被害者のために復号化キーを公開し、GandCrabランサムウェアの標的ではない国のリストにシリアを追加した。
2019年1月、アフィリエイトは、リモートデスクトッププロトコル(RDP)攻撃として知られているものを使用することが初めて確認された。この種の攻撃では、攻撃者は所定のネットワークをスキャンして、リモートアクセス用に設定されたシステム、つまりユーザーまたは管理者が別の場所からログインして制御できるシステムを探します。攻撃者は、リモート・アクセス用にセットアップされたシステムを見つけると、一般的なユーザー名とパスワードのリストを使用してログイン認証情報を推測しようとします(別名、総当たり攻撃または辞書攻撃)。
同時に、GandCrabのアフィリエイトは、"Flu pandemic warning "という件名の、疾病管理予防センター(CDC)からと思われるフィッシングメールを介してランサムウェアを広めることで、長く厳しいインフルエンザの季節(21週間)を利用した。添付されたマルウェア入りのWord文書を開くと、ランサムウェア感染が開始された。
その関連会社の軍隊、多様な攻撃手法、定期的なコード改訂のおかげで、GandCrab は、Malwarebytes Labs State of Malware レポートで報告されているように、2018年の企業および消費者ターゲットの間で最も一般的なランサムウェア検出となりました。
GandCrabは、その成功にもかかわらず、あるいは成功したがゆえに、開始から1年半後の2019年5月に活動を停止した。サイバーセキュリティの研究者たちは、その理由についてさまざまな説を唱えている。
GandCrabはクリエイターが言うほど成功していない。GandCrabのクルーがどれだけ儲けたのか、本当のところはわからない。彼らの主張する20億ドルという収益は誇張されている可能性があり、その理由がここにある:サイバーセキュリティの研究者たちは、以前のバージョンのランサムウェア用に無料のGandCrab復号化ツールを開発した。GandCrabの乗組員が撤退を発表してからわずか2週間後、Bitdefenderの研究者はGandCrabの最新バージョンを解読できる最後の解読ツールをリリースした。無料の復号化ツールが広く一般に知られるようになったことで、身代金の支払いを避ける潜在的な被害者がますます増えている。
GandCrabの一味は、別の名前でランサムウェアやその他のマルウェアを作り続けるだろう。活動停止を発表したことで、GandCrabの一味は、サイバーセキュリティ研究者や法執行機関の監視の目をかいくぐり、狡猾な新たな脅威で自由に世界を苦しめることができる。案の定、Malwarebytes サイバーセキュリティ研究者たちは、GandCrabに酷似した新種のランサムウェアについて報告した。
Sodinokibi(別名Sodin、別名REvil)として知られるこのランサムウェアは、GandCrabが活動を停止してから約2ヶ月後に野生の状態で発見され、研究者たちはすぐに消滅したランサムウェアとの比較を行った。今のところ、Sodinokibiの背後にいる悪者がGandCrabの一味であるという決定的な証拠はないが、それは安全な賭けである。
手始めに、Sodinokibiは同じランサムウェア・アズ・ア・サービス・モデルを採用している。GandCrabのスタッフがソフトウェアを所有し、サポートすることで、サイバー犯罪者になろうとする者が利益の一部を得る代わりにソフトウェアを使用できるようにしているのだ。
SodinokibiはGandCrabと同じ反復更新プロセスに従っている。現在までに、Sodinokibiには6つのバージョンが存在する。
Sodinokibiは、エクスプロイトキットや悪意のある電子メールの添付ファイルなど、同じ感染経路をいくつか採用している。しかし、新たな展開として、Sodinokibiの背後にいる犯罪者は、感染を広めるためにマネージド・サービス・プロバイダー(MSP)を利用し始めている。2019年8月、国内の数百の歯科医院が患者記録にアクセスできなくなったことに気づいた。攻撃者は侵害されたMSP(この場合は医療記録ソフトウェア会社)を利用して、記録管理ソフトウェアを使用している歯科医院全体にSodinokibiランサムウェアを展開した。
最後に、Sodinokibiの身代金要求書と支払いサイトは、GandCrabのものと少なからず類似している。
GandCrabから身を守る方法
Malwarebytes Data Sciences チームによると、GandCrab の検出数は激減しているものの、Sodinokibi やその他のランサムウェアに対処する必要があります。ここでは、GandCrab やその他のランサムウェアから身を守る方法をご紹介します。
- ファイルをバックアップする。定期的にデータをバックアップしておけば、ランサムウェアに感染しても、迷惑なことではありますが、小さな問題になります。システムをワイプして復元し、人生をやり直そう。
- メールの添付ファイルやリンクに注意しましょう。友人や家族、同僚からメールを受信し、それが奇妙に聞こえたら、よく考えてみてください。取引先の会社からのメールであれば、会社のウェブサイトに移動するか、アプリがあればそれを使ってみてください。
- パッチとアップデートを定期的に行いましょう。システムを常に最新の状態に保つことで、コンピュータへの不正アクセスに悪用されることを防ぐことができます。エクスプロイトとは、GandCrabが標的のシステムに感染する主な方法です。同様に、お使いのコンピュータにもう使用していない古いソフトウェアがある場合は、それを削除してください。
- リモートアクセスを制限する。リモート・デスクトップ・プロトコル(RDP)攻撃から身を守る最善の方法は、リモート・アクセスを制限することです。このシステムは本当にリモートからアクセスする必要があるのか?答えが「イエス」なら、少なくとも本当に必要なユーザーにアクセスを制限する。さらに良い方法は、すべてのリモート・ユーザーに仮想プライベート・ネットワーク(VPN)を導入することです。
- 強固なパスワードを使用し、サイト間でパスワードを再利用しない。どうしてもリモートでシステムにアクセスする必要がある場合は、多要素認証で強力なパスワードを使用するようにしてください。とはいえ、利用するさまざまなサイトやアプリケーションすべてに固有のパスワードを覚えておくのは、不可能ではないにしても難しい作業だ。幸いなことに、パスワード・マネージャーがそれをやってくれる。
- サイバーセキュリティソフトウェアを使う。例えば、Malwarebytes Premium forWindows、トロイの木馬、ウイルス、悪意のあるダウンロード、不正なリンク、なりすましウェブサイトをブロックし、GandCrabのようなランサムウェアやその他のマルウェア感染がシステムに根付くことがないようにします。
GandCrabの削除方法
すでに GandCrab の被害に遭っている場合、身代金を支払う必要がない可能性が高いです。その代わりに、以下の手順に従って GandCrab を PC から取り除いてください。
- Windowsファイル拡張子を表示する。デフォルトでは、MicrosoftWindows ファイル拡張子(.exeや.docなど)を隠しているので、ステップ2に進む前にこれらの拡張子を表示する必要があります。つまり、ファイルエクスプローラーを開き、[表示]タブをクリックし、[ファイル名の拡張子]ボックスをチェックします。
- GandCrabのバージョンを確認する。ファイルの拡張子を確認できるようになったので、暗号化されたファイルの拡張子を確認することで GandCrab のバージョンを知ることができます。
- GandCrabバージョン1は.gdcb拡張子を与える。
- GandCrabバージョン2および3では、拡張子.crabが使用されます。
- GandCrabバージョン4は.krab拡張子を与える。
- GandCrabバージョン5は5文字のランダムな拡張子を与える。