新たなランサムウェアがAmazon Web Services(AWS)のインフラを標的に、WindowsとMacOSに被害を与えている。
このランサムウェアは、著名なLockBitを模倣し、心理的圧力を強めて身代金要求を行う手法を取る。
特に注目すべきは、AWSのS3 Transfer Accelerationを悪用した高速なデータ転送が可能な点である。
ゴーランで記述された新型ランサムウェアの特性
今回発見されたランサムウェアは、プログラミング言語のゴーラン(Golang)を使用して作成されている。この選択は、ゴーランがクロスプラットフォームでの展開が容易であり、WindowsとMacOSの両方をターゲットにできるという利点を持っているからである。1つのコードベースで異なるオペレーティングシステムに対応できるため、攻撃者はより効率的に被害を拡大することが可能である。
このランサムウェアは、LockBitという有名なランサムウェアファミリーを模倣している点も特徴的である。攻撃が成功した後、被害者のデスクトップの壁紙はLockBit関連の画像に変更され、まるで高プロファイルな攻撃者に狙われているかのような錯覚を与える。これにより、被害者は身代金を支払うよう圧力を受けるが、実際には全く異なる攻撃グループが背後に存在する。
攻撃の開始時には、対象マシンのUUIDが収集され、あらかじめ埋め込まれている公開鍵が用いられ、暗号化プロセスが進行する。RSA公開鍵を用いて生成されたマスターキーが、被害者のシステム上にREADMEファイルとして保存される。この段階で、復号化に必要な鍵は攻撃者のみが保持する。
AWSサービスを利用した高度なデータ盗難手法
このランサムウェアは、AWS(Amazon Web Services)のサービスを悪用し、被害者のデータを遠隔地に迅速に転送する仕組みを備えている。特に、Amazon S3のTransfer Acceleration(S3TA)機能が用いられており、これによって長距離でのデータ転送が高速化される。S3TAは、Amazon CloudFrontのエッジロケーションを活用することで、データのアップロードを効率化し、攻撃者が迅速に情報を盗み出すことを可能にしている。
ランサムウェアがシステムを感染させると、攻撃者の管理下にあるAWSアカウント内にS3バケットが作成され、そこに被害者のファイルがアップロードされる。特に注目すべきは、この過程でファイルサイズが100MiB未満のもののみがターゲットにされる点である。これにより、攻撃者はAWSのストレージや転送コストを最小限に抑えつつ、効果的なデータ盗難を実行することが可能である。
アップロードにはゴーランのAWS SDK v2ライブラリが使用され、AWSのアクセスキーIDやシークレットアクセスキーがコードにハードコーディングされている。これにより、攻撃者はクラウドサービスを効果的に利用し、被害者のシステムからファイルを素早く外部に送信する。
LockBitを模倣する心理的な脅威の増大
このランサムウェアは、LockBitのブランドを巧妙に利用し、被害者に心理的な圧力をかける手法を採用している。LockBitは世界的に悪名高いランサムウェアであり、その名前が表示されるだけで被害者は大きな恐怖を感じる。今回の攻撃では、被害者の壁紙がLockBit関連のものに変更されることで、本物のLockBitによる攻撃だと誤認させられる。
この心理的な操作は、被害者に対して身代金の支払いを促すための重要な要素となっている。実際には、攻撃の背後にいるグループはLockBitとは無関係であり、単にその名声を利用しているだけである。しかし、被害者はこれを知らずに、より大きな恐怖心から支払いに応じる可能性が高まる。
さらに、暗号化プロセスが完了した後、被害者のシステム上にREADMEファイルが残され、そこには攻撃者との連絡手段や支払い方法が記載されている。攻撃者が公開鍵暗号化方式を採用しているため、復号には攻撃者の秘密鍵が必要であり、被害者は事実上、身代金を支払う以外に解決策がない状況に追い込まれる。
対策:クラウドリソースの監視とアクセス制限
この種の攻撃を防ぐためには、クラウドリソースの厳重な監視とアクセス制限が不可欠である。特に、AWSのようなクラウドサービスを利用する企業や個人は、定期的にアクセスキーや認証情報をローテーションすることが推奨されている。また、マルチファクター認証(MFA)を導入することで、アカウントの不正アクセスを防ぐ効果が期待できる。
クラウド環境では、アクセス権限の管理が攻撃のリスクを低減するための重要な要素となる。特に、不要なアクセス権限や過剰な権限が付与されているアカウントは、攻撃者にとって格好のターゲットとなるため、定期的な見直しが求められる。また、各リソースに対して厳密なアクセス制御ポリシーを設定し、最小限のアクセス権で運用することが重要である。
さらに、エンドポイントセキュリティの導入も有効である。ランサムウェアがシステムに侵入する前に、異常な動作や不正なファイル転送を検知し、事前に対策を講じることができる。このような多層的な防御策を講じることで、クラウドを悪用したランサムウェア攻撃のリスクを最小限に抑えることが可能である。