ここから本文です

被害者の住んでいる場所で身代金額を変えるランサムウェアFatboy

5/25(木) 14:06配信

THE ZERO/ONE

ランサムウェアは現在も主要な脅威であり続けており、セキュリティ専門家は近頃この特定の種類のマルウェアにおける数々の進化を注視している。

新たに発見された「サービスとしてのランサムウェア」(RaaS)である「Fatboy」は、被害者の地理的な位置情報に基づいた身代金を設定するというフレキシブルな方法を実装している。

脅威情報企業Recorded Futureによると、Fatboyは3月24日にロシアの有名なサイバー犯罪フォーラムで初めて発見された。

このマルウェアの作者と思われる人物は、ネット上で「polnowz」という名で活動しており、フォーラムでパートナーシップを募集し、Jabberを通じてのサポートやガイダンスを申し出ていた。数日後、そのフォーラムの有名なメンバーが製品の翻訳の支援を申し出ている。
このランサムウェアの最も興味深い機能は、エコノミスト誌によるビッグマック指数に基づいた支払いスキームだ。これは、その地域の生活費によって被害者は異なる身代金を支払うことを意味している。
 
「Fatboyが被害者を狙う方法は動的だ。被害者の位置情報によって決定された身代金金額が要求される」とRecorded Futureが公開した解析レポートに記されている。
 
「polnowzによると、Fatboyはエコノミスト誌のビッグマック指数(製品での表記では「マクドナルド指数」として引用されている)を基にした支払いスキームを使用している。ということは、生活費が高い地域の被害者ほどデータの解読に高い金額が請求されるのだ」

作成者のパートナーになるつもりの犯罪者は、被害者が身代金を支払う際に即時受け取りの恩恵にあずかることができる。

Fatboyの作成者は2017年2月7日以降、ランサムウェアキャンペーンで5321ドル以上稼いでいると推定される。

ランサムウェアは、一定期間以内に身代金を支払わなければ完全にファイルを失うことになると被害者に警告する脅迫文を感染したコンピューターに表示する。FatboyはC++で書かれており、x86とx64両方のアーキテクチャのすべてのバージョンのWindows OS上で動作する。

このマルウェアは5000種以上のファイル拡張子を狙い、AES-256暗号化方式を用いる。そして被害者ごとの鍵はRSA-2048 で暗号化する。以下はRecorded Futureが公表した製品説明である。

・基本サイズは15.6kB、C++で記述
・アクティブなCryptoLockerの開発・支援
・全てのWindows OS x86/x64で動作
・複数言語のユーザーインターフェイス(12言語)
・個別キーを用いてAES-256で各ファイルを暗号化し、全てのキーをRSA-2048で暗号化する
・国・時間ごとの完全な統計を実装した使いやすいパートナーパネル
・各クライアントの詳細情報をパートナーパネル上に表示
・全てのディスク・ネットワークフォルダーをスキャン
・クライアント毎の新しいビットコインウォレット番号
・支払い後のソフトウェア削除
・被害者が解読のために支払った後、パートナーへ即時送金
・支払い後の自動的なファイル解読
・5000以上のファイル拡張子をサポート
・国の生活水準(マクドナルド指数)による自動的な価格調整
・支払いのための段階的な指示を伴う追加のヘルプ

FatBoyは国や時間による統計を含むユーザーフレンドリーなパートナーパネルを実装している。そしてそれにはもちろん、感染したマシンそれぞれに関する詳細な情報も入っている。

「Fatboyがパートナーシップの透明性のレベルを設けているのは潜在的なバイヤーの信用を迅速に得るための戦略なのかもしれない。更に、自動価格調整機能は狙われた被害者に基づきカスタマイズされたマルウェアへの関心を示している」
「企業などの組織はFatboyや他のランサムウェア製品の順応性に注意すべきだ。そしてこれらの脅威の進化に対応するために、自分たちのサイバーセキュリティ戦略を継続的に更新すべきである」
 
翻訳:編集部
原文:Fatboy Ransomware as a Service sets the ransom based on the victims’ location
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

Security Affairs

最終更新:5/25(木) 14:06
THE ZERO/ONE