ビジネスパーソンが押さえておくべきランサムウェア最新動向 第13回 Linuxも標的にするAbyss Lockerランサムウェアに注意

暗号化されたファイルには「.RAWLD」という拡張子が付加され、「Data breach warning.txt」というランサムノートが残されます。

このランサムノートから、被害者に対して「Tox」と「Telegram」という2種類の連絡方法を用意していることがわかります。Toxとは、エンドトゥエンドでの暗号化通信を行うインスタントメッセージ/テレビ電話のプロトコル（通信手順）であり、完全に分散化されたP2P（ポイントトゥポイント：サーバーを介さずに端末同士を接続すること）ネットワークによって、互いに直接接続できます。Telegramはロシア発のチャットツールで、LINEやMessengerのような通信手段です。

攻撃者は、3日以内に連絡がない場合には盗んだファイルの一部を、7日後にはその全てを、「Gofile」というファイル共有サービスに公開します。なおランサムノートには、身代金を支払っていない被害者のリストも含まれています。

興味深い点は、このリストが外部から動的に取得されたものではなく、ランサムノートに直書きされているということです。このランサムウェアを使う攻撃者は、ランサムウェアのサンプルが報告されるよりも前から活動していたと考えられ、実際に2024年1月末に見つかった亜種では、ランサムノートの被害者リストに7人が追加されています。

攻撃者は前述の連絡手段の他に、TORサイトと非TORサイトも運営しており、ここでも盗まれたファイルを公開しています。TORサイトのトップ画面は以下のようになっています。

ここには「戦争は死の饗宴だ。私は生き延びたが、友人は生き延びられなかった。」という文言があり、攻撃者の所在を知る手がかりになると考えられています。

またこれらのサイトにも被害者のリストがあり、所在国はドイツ、英国、米国、イタリア、ポーランド、インド、台湾、メキシコ、フランス、タイ、韓国と、実に多彩です。

なおランサムウェアのサンプルは、オランダ、フランス、英国、チェコ共和国、ポーランド、コロンビアの他、日本からも報告されており他人事ではないランサムウェアです。
○これらのランサムウェアについて、もっと詳しく知りたい方に

ここでご紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。
○Abyss Lockerランサムウェア

「Ransomware Roundup - Abyss Locker」（Shunichi Imano and Fred Gutierrez、2024年2月26日）

○RA Worldランサムウェア

「Ransomware Roundup - RA World」（Shunichi Imano and Fred Gutierrez、2024年3月15日）

○著者プロフィール

今野 俊一（フォーティネットジャパン 上級研究員）、Fred Gutierrez
（）