暗号化速度が2倍の「Rorschach」 このランサム攻撃は何が危ないのか

暗号化速度が従来のものの2倍に達するランサムウェアが見つかった。どのような危険性があるのだろうか。

[David Jones，Cybersecurity Dive]

　暗号化が高速で、非常に精巧なランサムウェアが見つかった。史上最速のランサムウェアの可能性があるという。どのような危険性があるのだろうか。

高速だと何が恐ろしいのか

　Check Point Software Technologiesのインテリジェンス部門Check Point Researchに所属する研究者は、2023年4月3日にこのランサムウェアを「Rorschach」（ロールシャッハ）と名付けた（注1）。既に米国企業に対する攻撃で使用された。

　暗号化が特に高速なランサムウェアとして「LockBit」が知られている。Rorschachの暗号化速度は、LockBitの約2倍だという。

　暗号化が高速だと何が起こるのだろうか。防御側がたとえ攻撃の初期に検知できたとしても、対応が間に合わず、暗号化が完了してしまう可能性が高くなる。

複数のランサムウェアの利点を取り入れた

　Check Point Softwareによれば、Rorschachは高度にカスタマイズ可能であり、これまでのランサムウェアにはなかった機能を備えているという。一部は自律的に動き、攻撃者のニーズに基づいて動作を変える。つまりRorschachに対抗しようとしても、まるでウイルスが変異して抗体が効かなくなるように、流行が続く可能性がある。

　Check Point Softwareによれば、残されたRorschachの身代金要求文書には、Cisco Systemsに対する攻撃に使われた「Yanluowang」ランサムウェアの身代金要求文書と類似した部分があった。しかし、他の亜種では、攻撃グループ「DarkSide」が使う身代金要求文書と似ていた。攻撃を分析する際に誤解を招きやすい。

　Check Point Researchのセルゲイ・シケビッチ氏（脅威インテリジェンスグループマネジャー）は、次のように述べた。

　「心理検査で用いられるロールシャッハテストの結果が人によって異なるように、Rorschachは異なるランサムウェアファミリーから取り入れた技術的に異なる特徴を多数備えており、他のランサムウェアファミリーと異なる特別なものだ」

攻撃手法は独特

　研究者が見つけた攻撃ではPalo Alto Networksの署名入りセキュリティ製品「Cortex XDR」を利用したDLLサイドローディングと呼ばれる手法が使われた。ランサムウェア攻撃ではあまり見られない手法だという。

　Palo Alto Networksによれば、「Cortex XDR Dump Service Tool」（cydump.exe）をインストールディレクトリから削除すると、DLLサイドローディングによって信頼できないダイナミックリンクライブラリがロードされるという（注2）。同社によると、Rorschachは十分なエンドポイント検出機能がないシステムでの検出を回避するために、Cortex XDR Dump Service Toolのコピーを使用した。

　Cortex XDRをインストール後、インストールパスから直接Cortex XDR Dump Service Toolを実行した場合、DLLのサイドローディングは機能しない。つまり危険性はない。

　Check Point SoftwareがPalo Alto Networksに情報を開示後、同社は「Cortex XDR Agent」の新バージョンをリリースして、ソフトウェアの悪用を防いだ。

　今回はこれ以上の攻撃を防ぐことはできたものの、Rorschachは変異させやすいように設計されている。引き続き警戒が必要だろう。

出典：Palo Alto security software stung by ransomware strain（Cybersecurity Dive）

注1：What do the inkblots tell you? Check Point Researchers Unveil “Rorschach,” previously unseen, fastest ever Ransomware（Check Point Software）

注2：PAN-SA-2023-0002 Informational Bulletin: Impact of Rorschach Ransomware(Palo Alto Networks）