NEPHILIM (NEFILIM) ランサムウェア

ransomware-2318381_1920

はじめに

Nephilimと言うランサムウェアは、Nefilimとしても知られていますが、2020年にCitrixゲートウェイデバイスの脆弱性を狙って配布されているのが見つかったのが最初です。
Nephilimランサムウェアに関わる攻撃は頻繁で、多くの国の中規模から大規模な組織を標的にしていると記録されています。
Nephilimランサムウェアのアクティブな亜種・変異型に対する復号プログラムはなく、平均身代金要求額は701,494ドルで、ランサムウェアのノートの中に提示されたEメールアドレス経由で支払うことができます。

手口

1. 初期アクセス

脅威アクターは初期アクセスを得るために2つの方法を使います。外部に露出したリモートデスクトッププロトコル(RDP)の設定を狙い、ブルートフォースもしくはCitrixゲートウェイデバイスの既知の脆弱性、CVE-2019-11634やCVE-2019-19781をついてエクスプロイト攻撃をします。脅威アクターが初期アクセスを得て侵入するとすぐに、Nephilimランサムウェア、ファイル、抽出ツールであるMimikatz、AdFind、Cobalt Strikeをダウンロードします。
脅威アクターは、Mimikatzツールを使って、水平移動をするためのクレデンシャルを収集し、それでActive Directoryまで侵入できたら、AdFindツールを使ってActive Directoryを探索します。脅威アクターはまた、Cobalt Strikeもダウンロードし、水平移動を援護します。攻撃目標のネットワークのマッピングをした後、脅威アクターはサーバや共有ネットワークディレクトリから、感染したコンピュータのローカルディレクトリにデータをコピーして、7zipバイナリを使ってそのデータを圧縮します。次にMEGAsync をインストールしますが、これは感染したコンピュータと脅威アクターが所有するクラウド上のドライブとの間でフォルダを同期するのに使われます。これにより脅威アクターは7zip圧縮データを攻撃目標のネットワークから抽出することができます。

2. インストール

脅威アクターはPsexec.exeを使ってリモートコマンドを実行し、バッチファイル(.bat)を実行できるようにします。複数のバッチファイルを実行して、コピーコマンドもしくはWMIを使ってできるだけ多くのマシンにNephilim ランサムウェアと、プロセスを終了し、サービスを止めるための1つのバッチファイルを広めて行きます。

3. 暗号化

Nephilimが実行されるとき、AES-128とRSA-2048 アルゴリズムの組み合わせを使って、標的とする全ファイルの暗号化を開始します。最初に、AES-128暗号方式でファイルを暗号化し、次にAES 暗号鍵をRSA-2048公開鍵を使って暗号化します。そしてその鍵はランサムウェアの実行(.exe)ファイルに添付されます。
標的とする全ファイルが暗号化されるとすぐに、Nephilim はランサムノート「NEFILIM-DECRYPT.txt」を投下しますが、そこには被害者へのファイルの復元方法が指示されています。