is702
ニュース

新種ランサムウェア、アンダーグラウンドの掲示板で“利用者”を募集

2018/08/20

トレンドマイクロは8月17日、公式ブログで「新しく確認された暗号化型ランサムウェア『PRINCESS EVOLUTION』がRaaS利用者を募集」と題する記事を公開しました。

トレンドマイクロは8月に入り、脆弱性攻撃ツール(エクスプロイトキット)「Rig EK」を利用して拡散する新種のランサムウェアを確認しました。詳細に解析したところ、2016年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョン「PRINCESS EVOLUTION」(プリンセスエボリューション)であることが判明しました。

PRINCESS LOCKERとPRINCESS EVOLUTIONの大きな違いは、コマンド&コントロール(C&C)通信のプロトコルが、HTTPからUDPに変更されている点です。UDPはHTTPに比べ高速なデータ送信が可能です。

PRINCESS EVOLUTIONに感染すると、データの先頭部分が「XOR」と「AES」という2つのアルゴリズムで暗号化されます。またファイルの残り部分もAESで暗号化されます。そしてPRINCESS LOCKERと同一の身代金要求文書により、0.12Bitcoin(約8万5300円)の身代金を要求してきます。

PRINCESS EVOLUTIONは、「Ransomware as a Service」(RaaS:サービスとしてのランサムウェア)として提供されており、アンダーグラウンドの掲示板で“利用者”を募集していました。悪意のあるユーザは、利用料を払うだけで簡単にランサムウェアが利用可能です。アンダーグラウンドの掲示板では、PRINCESS LOCKERの開発者が、新しく作成したPRINCESS EVOLUTIONの利用者を募集する広告を投稿しており、支払われた身代金の60%がRaaS利用者の取り分、残り40%がランサムウェア開発者の取り分となっていました。

なお同時期の活動として、仮想通貨発掘ツール「Coinhive」を利用して不正な発掘活動を行うマルウェアも、不正広告を通じて拡散されていました。ランサムウェアに感染しなかったとしても、仮想通貨の発掘によって不正な利益を得ることを狙っていたと考えられます。

ランサムウェアによる攻撃は頭打ちになっており、地域によっては減少傾向にありますが、まだまだ重大な脅威です。引き続き注意してください。





「PRINCESS EVOLUTION」の身代金支払いページ(経過時間による身代金の上昇やビットコインによる支払い方法が記載されている)<br />

「PRINCESS EVOLUTION」の身代金支払いページ(経過時間による身代金の上昇やビットコインによる支払い方法が記載されている)



  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ