RAPID ランサムウェア

cyber-security-3400657_1920

はじめに

Rapidランサムウェアは、2017年に初めて登場し、悪意のあるzipファイルを添付した偽のアメリカ合衆国内国歳入庁(IRS)メールのフィッシングキャンペーンによって配布されていました。
Rapidランサムウェアの亜種を含む攻撃は頻繁に発生しており、米国やヨーロッパを含む多くの国の中小規模の組織を標的にしていることが記録されています。
Rapidランサムウェアには復号機がなく、要求される身代金は平均9250ドルで、ランサムウェアのノートに記載されている電子メールやTorチャットのリンクアドレスから支払うことができます。

手口

1. 初期アクセス

ランサムウェア攻撃者は、Rapidランサムウェアのペイロードを含む悪意のあるZIPファイルを添付したフィッシングメールを送信します。しかし、脅威の行為者が偽のウェブサイトのダウンロード内やBitTorrentのウェブサイト内にマルウェアを埋め込んでいるという報告もあります。

2. インストール

被害者が悪意のあるZIPファイルの添付ファイルを開くと、PowerShellプロセスが起動し、利用可能なあらゆる管理共有に自分自身をコピーしようとします。このペイロードは、ネットワークへのリモートアクセスが可能になった後、感染したマシンにダウンロードされ、「%APPDATA%/Roaming/」に「info.exe」という名前でインストールされ、システムレジストリに自動実行アイテムとして設定され、感染したWindows PCが起動するたびに実行されます。また、Windowsのユーティリティーである「bcdedit.exe」を使用して、Windowsの自動修復モードを無効にします。
Rapidランサムウェアは、「taskkill」や「net stop」を実行することで、事前に定義されたサービスやプロセス名のリストから、ウイルス対策ソフト、データベース、バックアップ、ドキュメント編集ソフトに関連するプロセスの強制終了やサービスの停止を試みます。そして、ネットワーク上でシャドーコピーのスキャンを試み、見つかったシャドーコピーを削除することで、被害者が暗号化されたファイルを復元できないようにします。

3. 暗号化

暗号化の準備として、RapidランサムウェアはSQLやOracleなどのデータベースに関連するサービスを終了させ、データベースファイルにアクセスできるようにします。次に、固定ドライブ、リムーバブルドライブ、ネットワークドライブ上にあるすべてのファイルの暗号化を開始します。Rapidランサムウェアは、すべてのファイルに固有のAES 256ビット鍵を生成し、ハードコードされたRSA公開鍵でAES鍵を暗号化します。その後、RapidはAESファイルキーでファイルを暗号化し、元のコンテンツを暗号化されたコンテンツで上書きします。最後にRapidは、暗号化された各ファイルのファイル名に拡張子「.rapid」を追加します。