SODINOKIBI ランサムウェア (REvil)

はじめに

Sodinokibiと言うランサムウェアは、別名REvilとしても知られ、最初の出現は2019年、Oracle WebLogicサーバのCVE-2019-2725の脆弱性をついたエクスプロイトとして配布されていました。脅威アクターはHTTPアクセスでWebLogicサーバにアクセすることができました。
Sodinokibiランサムウェアは現在、最も広く蔓延するアクティブなランサムウェアで、多くの国のあらゆる規模の組織を標的にしていると記録されています。
Sodinokibiランサムウェアのアクティブな亜種・変異型には復号プログラムはなく、平均身代金要求額はビットコインで30万ドル、ランサムウェアのノートに書かれたウェブサイトアドレス経由で支払うことができます。

手口

1. 初期アクセス

脅威アクターにより使用される感染ベクターには、スパムメール、エクスプロイトキット、その他の関連するマルウェアキャンペーンなどが含まれます。CVE-2019-2725の他に、GrandSoftやRIGの2つがSodinokibiを配布するエクスプロイトキットとして最もよく使われています。スパムキャンペーンは、添付されたZIPファイルの中の難読化されたJavaScriptファイルを攻撃対象者に開かせることを狙っています。

2. インストール

被害者がJavaScriptファイルを実行するとすぐに、難読化されたJavaScriptからPowerShellスクリプトをロードすることでUACをバイパスしてすり抜け、既存のプロセスにSodinokibi ローダーを注入します。Sodinokibi はCheckTokenMembership 関数でこのプロセスの許可をチェックし、もしプロセスが適正な許可を持っていないのであれば、Sodinokibi は自らをレジストリキーへと書き込み、CompMgmtLauncher.exeでexplorer.exe の新しいインスタンスをスタートさせます。この同じPowerShellスクリプトは、Sodinokibiのペイロードがインストールされ、保存され、実行されるために十分な高位の特権を感染したプロセス持つまで再実行されます。ペイロードの実行中、Sodinokibi は被害者のプライマリーキーボードIDをチェックして、configファイルと比較し、攻撃を継続するかどうかを判断します。これはconfigファイルに明記された特定国からのマシンを脅威アクターは標的にしたくないからです。

3. 暗号化

Sodinokibi はファイルを暗号化する前に、被害者のマシンに含まれるシャドウコピーを取り除くためにvssadmin.exe を使い、bcdedit.exe を使ったWindowsの復元を不可能にします。これをした後、Sodinokibi は「バックアップ」と名の付く全てのディレクトリを検索し、バックアップディレクトリ内のすべてのファイルを削除する前に、ランダムバイトでコンテンツの上書きをし、ファイル復元をほぼ不可能にします。
最後にSodinokibi はすべてのファイルをSalsa20 のキーと256ビットのAESキーを使って暗号化します。AESはC&Cサーバに送るセッションキーとデータを暗号化するのに使い、ファイルはSalsa20暗号により暗号化します。

コマンド&コントロール

すべてのファイルが暗号化されたら、Sodinokibi はシステム情報、暗号キーなどのデータをランダムに生成した複数URLへと送信し、そのURLはC&Cサーバへと接続しています。