Midnightランサムウェアの概要と脆弱性
サイバー脅威が進化する中、新たなランサムウェア「Midnight」が登場しました。これは、悪名高い先行者であるBabukの戦術を模倣しつつ、新たな暗号化の変更を導入しています。これらの変更の一部は、意図せずファイル復旧の道を開いてしまいました。これは、被害者が身代金を支払うことなくデータを回復できる稀な機会であり、ランサムウェア防御における重要な進展を意味します。
Babukランサムウェアからの影響
Midnightは、2021年初頭に登場し、その攻撃的な戦術と高度な技術的側面で知られるBabukランサムウェアファミリーから強い影響を受けている兆候が見られます。BabukはRansomware-as-a-Service (RaaS) として運用され、医療、金融、政府、その他の重要インフラ分野の大規模組織を標的としました。このランサムウェアは、HC256およびECDHプロトコルによる強力な暗号化と、断続的なファイル暗号化を組み合わせて、運用速度を維持しつつ被害を最大化しました。2021年半ばにBabukのオペレーターは予期せず活動を停止し、Windows、ESXI、NASバリアント用のビルダーを含む完全なソースコードをリークしました。このリークは、Babukの元の設計を特定の目的に合わせて変更した、多くのランサムウェアファミリーの波を引き起こしました。
暗号化の弱点
MidnightはBabukのコア構造の多くを保持しつつ、ファイル暗号化に使用される暗号スキームにいくつかの変更を導入しています。これらの変更は、ランサムウェアの有効性を向上させることを意図していた可能性が高いですが、特定の条件下でファイル復号を可能にする弱点を意図せず導入してしまいました。ランサムウェアは通常、暗号化されたファイルに.Midnightまたは.endpoint拡張子を追加します。ただし、一部の構成では、ファイル名を変更するのではなく、拡張子文字列をファイルコンテンツの末尾に直接追加します。暗号化の実装では、ファイルコンテンツの暗号化にChaChaを、ChaCha20キーの暗号化にRSAを使用しています。RSAで暗号化されたキーと、そのSHA256ハッシュは、既知のサンプル全体で一貫した形式で、各暗号化ファイルの末尾に追加されます。パフォーマンスを向上させるため、Midnightは断続的な暗号化を採用しています。これはBabukから受け継がれた技術ですが、どの部分を暗号化する必要があるかを決定するための、よりきめ細かいファイルサイズベースのロジックによって洗練されています。このアプローチにより、大規模ファイルの処理を高速化しつつ、それらを使用不能にします。
Midnight感染の特定
セキュリティ研究者は、Midnight感染のいくつかの主要な指標を特定しています。
- ランサムウェアは、複数のインスタンスが同時に実行されるのを防ぐために、「Mutexisfunnylocal」という名前のミューテックスを作成します。
- 影響を受けたディレクトリには、「How To Restore Your Files.txt」という名前の身代金メモがドロップされます。
- 一部のサンプルは、構成に応じて「Report.Midnight」または「debug.endpoint」として識別されるデバッグログを作成します。
- 以前のMidnightバリアントは、主にデータベース、バックアップ、アーカイブなどの高価値ファイル(.mdf、.ndf、.bak、.dbf、.sqlなどの拡張子を持つ)を標的としていました。
- より最近のバリアントは範囲を広げ、.exe、.dll、.msiファイルなどの実行可能ファイルを除くほぼすべてのファイルタイプを暗号化するようになりました。
- ランサムウェアは、ファイルコンテンツに拡張子文字列を追加するオプション、ネットワークマウントされたボリュームの暗号化を有効にするオプション、特定のディレクトリを標的とするオプションなど、動作を制御するためのいくつかのコマンドライン引数を受け入れます。
ランサムウェア復号ツールの提供
セキュリティベンダーは、Midnightの暗号化の欠陥に対処するために特別に設計された復号ツールをリリースしています。これらの復号ツールは、ウィザードベースのプロセスを通じて、暗号化された場所を特定し、ファイルの整合性を検証し、身代金の支払いを要求することなくデータを復元するようユーザーをガイドします。ユーザーは、復元プロセス中に管理者権限で復号ツールを実行し、バックアップオプションを有効にすることが推奨されます。これにより、復号操作全体を通じて重要な保護策が維持されます。