カスペルスキー、新たなランサムウェア「ShrinkLocker」を特定

記事の画像

　カスペルスキーは5月28日、同社のグローバル緊急対応チーム（GERT）が、MicrosoftのWindowsで提供されるドライブ暗号化機能「BitLocker」を悪用し、企業のデータやファイルの暗号化を試みるランサムウェアを使用した攻撃を確認したと発表した。　この攻撃者は、特定のWindowsバージョンを検出し、それに応じてBitLockerを有効にしてドライブ全体を暗号化するという新機能を備えたスクリプトを使用。また、ファイルの復元を防ぐために回復オプションも削除する。このランサムウェアとその亜種によるインシデントは、メキシコ、インドネシア、ヨルダンで確認しており、主に鉄鋼やワクチンの製造企業、政府機関を標的としていた。日本での攻撃は観測されていないが、今後は注意が必要となる。GERTはこのランサムウェアを「ShrinkLocker（シュリンクロッカー）」と名付けたとしている。

　GERTの調査では、この脅威アクターはVBScript（主にWindowsのタスク自動化やアプリケーション制御に用いられるスクリプト言語）を使用し、攻撃による被害を最大化するためにこれまで報告されていない機能をもつスクリプトを作成している。同スクリプトの新しい点は、攻撃対象とするシステムのWindowsバージョンを確認し、それに応じてBitLockerの機能を有効にすることで、Windowsの最新バージョンからWindows Server 2008までのレガシーシステムに感染させることができるとみている。

　GERTチームは、この悪意のあるスクリプトを「ShrinkLocker」と名付けた。名前の由来には、攻撃者が暗号化されたファイルとともにシステムを正確に起動させるために不可欠な、パーティションのリサイズという特徴的な手順を強調する意味を込めた。

　カスペルスキー製品では、この脅威を「Trojan.VBS.SAgent.gen」「Trojan-Ransom.VBS.BitLock.gen」「Trojan.Win32.Generic」の検知名で検知・ブロックするとしている。