ランサムウェア「Conti」の亜種に対応する新しい復号ツールをリリース

[本リリースは、2023年3月16日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのセキュリティチームは、ランサムウェア「Conti」を改変したランサムウェアに対応する新しい復号ツールを公開しました。Contiランサムウェアを使用するサイバー犯罪グループは2019年から活発に活動していますが、2022年3月に内部情報がリークされ、ランサムウェアのソースコードを含むデータが流出しました。Contiをベースに改変されたランサムウェアは未知の犯罪グループによって拡散され、企業や国家機関に対して使用されています。

2023年2月下旬、当社のリサーチャーが、ダークネットフォーラムで公開されていた、流出したContiのデータについて新たな部分を発見しました。そのデータを解析した結果、258個の秘密鍵、ソースコードと幾つかの事前コンパイル済み復号ツールが含まれていました。当社は、改変されたContiによる被害者を支援するため、暗号化されたファイルを復号する既存ツールを更新し、新版としてリリースしました。

2022年12月には、当社のリサーチャーが秘密鍵が流出したContiのある亜種を発見しており、それは企業や国家機関に対する複数の攻撃で使用されていました。

解析の結果、流出した秘密鍵は257のフォルダーに配置されており、（あるフォルダーには二つの鍵が含まれていました）そのうちの複数のフォルダーには、前に生成された復号ツールと文書や写真などの一般的なファイルが含まれていました。そのファイルは、テストファイル、つまり暗号化されたファイルが復号できるかを確認するために、被害者が攻撃者に送信したファイルだと考えられます。

また、34のフォルダーには、企業および政府機関の名称が明示されていました。一つのフォルダーが一つの標的に対応し、身代金を支払った場合に復号ツールが生成されたものと仮定すると、257のうち14の被害者が攻撃者に身代金を支払ったことになります。

データ解析後、当社のリサーチャーは、公開復号ツールを用意し新版としてリリースしました。復号コードと全258の鍵は、当社が提供している「RakhniDecryptor」の最新ビルド1.40.0.00で提供しています。この復号ツールは当社の「ノー・ランサム」サイトで利用可能です。

Kaspersky リードマルウェアアナリスト ヒョードル・シニツィン（Fedor Sinitsyn）は、次のように述べています。「ここ数年の間、ランサムウェアはサイバー犯罪者たちの主要なツールとなっています。しかし、私たちはランサムウェアを使用するさまざまな犯罪グループの戦術、技術、手順（TTPs）を調査・研究し、その多くは類似した方法で運用していることが分かっており、攻撃を防ぐことが容易になっています。この新しいContiベースの亜種に対抗する復号ツールは、当社のWebサイトで提供しています。ただし、防御を強化し、侵入の初期段階で攻撃を食い止め、ランサムウェアの展開を阻止して、攻撃の影響を最小限に抑えることが最善の戦略であるということをあらためて強調したいと思います」

■ランサムウェアによる感染からご自身と企業を守るために、以下の対策をお勧めします。
・リモートデスクトップサービスなどは、必須の場合を除きパブリックネットワークに公開せず、常に強力なパスワードを設定する
・商用のVPNソリューションの利用可能なパッチはすぐに適用し、ネットワークのゲートウェイとして機能するようにしてからリモート勤務の従業員にインターネット接続を提供する
・社内ネットワークでの感染の横展開およびインターネットへのデータ流出の検知に重点を置いた防御対策を検討する。サイバー犯罪者による接続を検知するため、外部ネットワークへのトラフィックには特別な注意を払う
・データを定期的にバックアップし、緊急時に必要になった場合には、すぐにアクセスできるようにしておく
・法人向けの「Kaspersky Endpoint Detection and Response Expert」や「Kaspersky Managed Detection and Response」のようなソリューションを利用する。攻撃の初期段階で特定し、阻止することに役立ち、攻撃者の最終目的を阻むことが可能
・最新の脅威インテリジェンス情報を使用して、攻撃者が実際に使用しているTTPsを把握しておく。「Kaspersky Threat Intelligence Portal」は、当社が25年にわたり収集してきた、サイバー攻撃に関するデータや知見など脅威インテリジェンスに一元的にアクセスできるポータルです