「駆除不可能」なビットコインランサムウェアウイルスが復活している。ブロックチェーン資産のセキュリティに注意してください

2017年、「ビットコインランサムウェアウイルス」WannaCryが中国を含む150か国以上を攻撃し、80億ドル以上の損失を引き起こした。それ以来、さまざまなランサムウェアウイルス（NotPetya、Bad Rabbitなど）が次々と登場しましたが、その影響は常に限定的でした。

最近登場した「GandCrab V5.2」と呼ばれる暗号通貨ランサムウェアウイルスは、WannaCryの「かつての栄光」を再現する兆しを見せているようだ。この攻撃は現在、中国の政府や企業のコンピューター数千台を攻撃している。

いわゆる暗号通貨ランサムウェアウイルスは、コンピュータに感染し、内部ファイルをロックし、ロックを解除する前にユーザーに暗号通貨で身代金を支払うよう要求します。

SlowMist や DVP を含む多くのセキュリティ チームは、GandCrab V5.2 は現時点では解読不可能であり、防御のみしかできないと述べています。

GandCrabチームは高度な技術を持っているだけでなく、「倫理的」でもある。身代金を支払った後にウイルスを「無毒化する」という約束を守っただけでなく、シリアなどの戦争で荒廃した地域を感染地域から「人道的に」除外した。そのため、かつては「GandCrab」ウイルスと呼ばれていました。しかし、中国と韓国を重要な攻撃ターゲットと見なしており、GandCrabの背後にいるチームはウイルスの販売で約285万ドルも稼いでいた。

近年、暗号通貨に対する攻撃が増加し、ブロックチェーンのセキュリティインシデントが頻繁に発生しています。 2017年の攻撃は主に「ランサムウェア」でしたが、2018年の攻撃は主に「悪意のあるマイニング」でした。さて、ランサムウェアは復活するのでしょうか?

01政府や機関のコンピュータ数千台が感染

国家サイバースペースおよび情報セキュリティ情報報告センターによると、GandCrab V5.2は2019年3月11日以来中国で大混乱を引き起こしており、政府、企業、関連する科学研究機関の数千台のコンピューターを攻撃している。

本稿執筆時点では、湖北省宜昌市夷陵区政府、中国科学院金属研究所、雲南師範大学、大連公安局など政府、企業、大学はいずれも公式ウェブサイトでウイルス攻撃防止のための発表を行っている。

▲夷陵区政府公式サイトのスクリーンショット

サイバーセキュリティアナリストのデビッド・モンテネグロ氏によると、GandCrab V5.2ランサムウェアは国内の数千台のコンピュータに感染しており、リモート攻撃を通じてさらに多くのコンピュータに影響を及ぼすだろうという。

02方法：スパム攻撃

GandCrab V5.2 はどのようにして被害者のコンピュータに感染するのでしょうか?ランサムウェアウイルスは現在、主に電子メールを通じて攻撃を行っていることが分かっています。

攻撃者は被害者のメールボックスに「某月某日午後3時に警察署に出頭せよ！」という件名、送信者名が「ミン・ガップ・リョン」で添付ファイル付きのメールを送信します。

▲テンセントセキュリティより

被害者が添付ファイルをダウンロードして開くと、GandCrab V5.2 が実行され、ユーザーのホスト上のハードディスク データ全体が暗号化されます。被害者は特定の URL にアクセスして暗号化されたブラウザをダウンロードするよう求められ、暗号化されたブラウザを通じて身代金を支払うよう求められます。

DVPブロックチェーンセキュリティチームは、スパム攻撃に加えて、GandCrab V5.2は「ウェブページトロイの木馬攻撃」も使用する可能性があると考えています。つまり、一部の違法ウェブサイトにトロイの木馬ウイルスを配置するほか、攻撃者は比較的保護能力が弱い一部の通常のウェブサイトを攻撃し、ウェブサイトの制御権を握った後、そのウェブサイトにログインしているユーザーを攻撃する可能性があります。

「攻撃者は被害者のコンピュータ上のファイルを不可逆的に暗号化します。ファイルを復号化するには、攻撃者が特定の復号化キーを提供してくれることに頼るしかありません。」 SlowMist セキュリティ チームは、被害者が特定のキーを入手するには現時点では料金を支払う必要があると説明した。

しかし、被害者が金銭を支払っても、攻撃者がデバイスのロックを解除するキーを渡さないこともあります。暗号通貨は匿名性があるため、攻撃者が被害者が身代金を支払ったかどうかを判断するのは困難です。通信チャネルがない場合、攻撃者は被害者のコンピュータのロックを解除する意図がないことを意味します。

03Unbreakable : 地球上で最も強力なランサムウェアウイルス?

「現時点では、直接解読する方法はありません。攻撃が成功し、コンピューター内に重要な情報がある場合、解読するにはお金を払って秘密鍵を入手するしかありません。」 SlowMistやDVPを含む多くのセキュリティチームは、このウイルスは現時点では解読不可能であると述べた。

しかし、いくつかのフォーラムには、まず料金を支払ってからクラッキングを行うという条件で、GandCrab V5.2 をクラックできると主張する企業もいくつか登場しています。 「彼らは基本的にすべて詐欺師、ダミー会社であり、まったく能力がありません。 」匿名のブロックチェーンセキュリティ会社は、「テンセントや360のような企業が解読できないのに、彼らはどうやって解読できるのか？」と語った。

「一部のチームや個人は、GandCrab V5.2 をクラックできると主張していますが、実際には「エージェント」によってクラックされています。」 SlowMist セキュリティ チームは、「彼らはあなたのお金を奪い、暗号解除キー (クラック) を入手するために脅迫者に暗号通貨を支払う手助けをします」と説明しています。

攻撃者は大勢でやって来ており、短期間でトロイの木馬ウイルスを解読することは不可能なので、私たちにできるのは自衛することだけです。宜昌市夷陵区政府も、次のような対策を講じた。

1. 不明なソースからの電子メールの添付ファイルを開かないでください。 2. 主流のウイルス対策ソフトウェアをタイムリーにインストールし、ウイルスデータベースを更新し、関連システムの包括的なスキャンを実行します。 3. Windows で USB フラッシュ ドライブの自動実行機能を無効にします。 4. オペレーティングシステムのセキュリティパッチを適時に更新し、Web、データベース、その他のサービスプログラムを更新して、脆弱性を悪用したウイルスの拡散を防止します。 5. ウイルスの拡散を防ぐために、感染したホストまたはサーバーをインターネットから切断する対策を講じます。

この「強力な」ウイルスにより、このチームはセキュリティ業界でも「有名」になった。

GandCrabランサムウェアは2018年1月に誕生し、その後数か月で「新星」となった。チームのラベルの1つは強力な「技術力」です。

今年 2 月 19 日、Bitdefender Security Lab の専門家は、GandCrab が提供したキーに基づいて、GandCrab V5.1 より前のすべてのバージョンのウイルスに対する「解毒剤」を開発しました (理由は後述します)。

しかし、悪魔は常に一歩先を進んでいます。 ZDNet によると、今年 2 月 18 日、Bitdefender が最新バージョンのクラッカーをリリースするわずか 1 日前に、GrandCrab がバージョン 5.2 をリリースしましたが、これは今日までクラックされていません。

現在、GrandCrab の背後にあるチームは、「サービスとしてのランサムウェア」アプローチを使用して、ウイルスの V5.2 バージョンをハッカーに販売しています。つまり、GrandCrab チームがウイルスを提供し、ハッカーが世界中で攻撃して金銭を脅し取るターゲットを選択するのです。攻撃が成功すると、GrandCrab チームは利益の 30% ～ 40% を受け取ります。

GandCrabチームが2018年12月に発表したデータによると、ウイルスチームが獲得した暗号通貨の総額は約285万ドルだった。

04 「独自の行動規範を持つ」義賊団？

このウイルスの背後にいるチームには、「Grand Theft」というタグも付けられています。このラベルは2018年の「シリアの鍵」事件に由来しています。

2018年10月16日、ジャミールという名のシリア人の父親が助けを求めるメッセージをTwitterに投稿した。ジャミール氏は、自分のコンピュータがGandCrab V5.0.3に感染し、暗号化されたと語った。 600ドルにも及ぶ「身代金」を支払うことができなかったため、彼は戦争で亡くなった幼い息子の写真を見ることができなくなった。

これを見たGandCrabランサムウェアウイルスの作成者は、シリアのユーザーを感染させる意図はなかったと直ちに謝罪声明を発表し、感染したシリア人の一部に対して復号鍵を公開した。

GandCrab もバージョン 5.0.5 にアップデートされ、シリアやその他の戦争で荒廃した地域が感染地域の「ホワイト リスト」に追加されました。さらに、GandCrab はコンピュータ システムがロシア語を使用していることを検出すると、侵入を阻止します。セキュリティ専門家は、ウイルスの作成者はロシア人である疑いがあると推測した。

しばらくの間、多くの人が GandCrab に好印象を抱き、「泥棒」と呼んでいました。

「GandCrabは武侠小説に出てくる義賊のようなもので、泥棒にも独自の行動規範がある」と匿名の警備員は語った。 「しかし、それでもGandCrabの行動は正当化できるとは言えません。結局のところ、彼らは他国の人々に容赦しません。」

Tencent セキュリティ チームの統計によると、GandCrab の被害者のほとんどはブラジル、米国、インド、インドネシア、パキスタンなどの国に集中しています。また、GrandCrab V 5.2 で使用されている言語は主に中国語、英語、韓国語であり、中国が重要な攻撃ターゲットとなっていることが分かります。

「ハッカーが特定の地域の人々に対して感情を持っていないなら、悪事を働く際にその地域の人々の感情を考慮することはないだろう。」スローミストのセキュリティチームは、「ハッカーの目には中国のサイバースペースはお金で溢れているように見えるので、中国を標的にするのは不思議ではない」と説明した。

「泥棒には泥棒なりの行動規範がある」としながらも他国には容赦ないこのランサムウェアウイルスをどう見て評価しますか？