MATRIX ランサムウェア
はじめに
Matrixと言うランサムウェアは、2016年にEITestキャンペーンにより使用されたRIGエクスプロイトキットにより配布されたのが最初です。最近、Matrixを配布している脅威アクターは、SamSamグループにより使用されるプレイブックをベースとしたプレイブックに従っています。
Matrixランサムウェアに関わる攻撃は、頻繁で、米国、ベルギー、台湾、シンガポール、ドイツ、ブラジル、チリ、南アフリカ、カナダ、英国を含む多くの国の中規模から大規模な組織を標的にしていると記録されています。
Matrixランサムウェアのアクティブな変異に対する復号プログラムはなく、平均身代金要求額は3500ドルで、ランサムウェアのノートの中にあるEメールアドレス経由で支払うことができます。
手口
1. 初期アクセス
脅威アクターは、RDPが有効化され、ファイヤウォールを通してアクセスが可能な公開されたWindowsマシンに的を絞り、攻撃目標とするネットワークへのアクセスを試みるところから始めます。次にこの脅威アクターはその公開されているマシンへのアクセスを得るためにブルートフォースもしくはエクスプロイトのテクニックを使います。脅威アクターは、被害者のネットワーク内の他のマシンにアクセスするために水平移動のテクニックを使うこともあります。Matrixランサムウェアの亜種・変異型の中には、フォルダショートカットを使って、その他のマシンにランサムウェアを拡散し感染することのできるワーム関数を持つものもあると記録されています。
2. インストール
脅威アクターが攻撃目標のマシンにMatrixを投下した後、Matrixは共有フォルダからネットワークの一覧を取得し、NetShareEnum関数を使用する価値のあるファイルのリストを作成することができないかを探るため、ネットワークをスキャンします。Matrixはまた、感染したマシンから、こうしたマシンがネットワークのどこにあって、どのようなシステム整合性レベルで、アクティブユーザアカウントの権限を持っているかなどを見出すために情報を収集します。
3. 暗号化
Matrixは次に、暗号化しようとするファイルのハードコードされたファイル拡張子のリストとスキャンした結果を比較します。Matrixは通常、リムーバル、固定およびリモートのドライブを狙います。MatrixはCryptGenRandom 関数を使って、40バイト長の乱数を生成し、これをChaChaアルゴリズムの中で使って、キーと40バイト長の乱数の値から成る使い捨ての乱数ペアで暗号化します。
攻撃の最終段階は、暗号化可能なファイル全てにマルウェアを実行し終えた時で、接続しているドライブすべてで削除したデータを上書きするcipher.exeツールを使って.cmdファイルを実行します。これにより、ドライブは永久に復元不可能となります。
コマンド&コントロール
攻撃中、Matrixは標的とするネットワークのスキャンの結果、攻撃のリアルタイムステータスアップデートをC&Cサーバと交信し、脅威アクターはランサムウェアの攻撃を修正、コントロールすることができます。