ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意

では、Undergroundランサムウェアは、具体的にどのようなふるまいをするのでしょうか。まず、感染して実行が始まると、次のようなことが行われます。
（1）シャドーコピーを削除

シャドーコピーとは、データ復元用のスナップショット（特定時点のバックアップデータ）のことです。これを削除することで、ランサムウェアによって暗号化されたファイルを、被害者自身で復元できない状態にします。シャドーコピーの削除は、最近のランサムウェアでは一般的になっています。
（2）リモートデスクトップサービス（RDS）とターミナルサービスのセッション維持時間を14日間に設定

RDSとターミナルサービスは、いずれも外部からシステムを操作するためのWindows機能です。RDSのセッション維持時間のデフォルトは24時間であり、この時間を過ぎると強制的に切断されます。この時間を14日間に設定することで、攻撃者は長期にわたってターゲットとなるシステムにアクセスできるようになります。
（3）Microsoft SQL Serverのサービスを停止

データベースサーバが稼働している状態では、データベースに関連するファイルがロックされているため、暗号化できません。またデータベースサーバが稼働中であれば、データベースのバックアップを取得し迅速に復元できる可能性もあります。そのためランサムウェアの多くは、暗号化前にSQL Serverなどのデータベースサービスを停止します。
（4）以下のような「!!readme!!!.txt」というランサムノートを残す

（5）ファイルを盗み出したうえで暗号化を実行

多くのランサムウェアは、暗号化したファイルにランサムウェア固有の拡張子を追加しますが、Undergroundランサムウェアは、暗号化したファイルの拡張子を変更しないことが特徴です。
（6）ランサムウェアのファイルを削除
（7）Windowsのイベントログのリストを取得・削除

（6）と（7）は、ランサムウェアの中身や具体的な挙動を秘匿するための行為だと考えられます。

Undergroundランサムウェアは、ターゲットから盗み出したデータや被害者情報を掲載・公開するため、以下のようなデータ流出サイトを開設しています。

2024年8月末時点で16件の被害が報告されており、そのロケーションの多くは米国と欧州ですが、韓国や台湾、シンガポールでも確認されています。