GandCrab: 盗人にも仁義あり?

GandCrabは今年初めて注目を浴びたランサムウェアです。支払いにDASHという仮想通貨を使用する初の身代金請求型マルウェアとして知られるGandCrabは、ユーロポールの報告によると、すでに5万人以上の被害者が出ているということです。

数週間前、ユーロポールの協力のもと、Bitdefenderがループホールを見つけ、GandCrabの最初のバージョン(.GDCBの拡張子の付いたもの)に対する復号ツールをリリースしました。これに対し、このマルウェアの作成者はバージョン2.0をリリースし、C&C(C2)インフラの安全を確保したと主張しています。

このマルウェアを監視していたところ、私たちのシステムがGandCrabの新たな亜種を検知しました。そこには奇妙かつユーモラスともいえる事実につながる情報が含まれていました。


GandCrabの概要

GandCrabはRSAアルゴリズムを使用して被害者のファイルを暗号化し、その拡張子に「.GDCB」と「.CRAB」を追加します。つまり、ファイルの復号を行う唯一の方法は、秘密鍵を使うことであり、これは暗号化され、マルウェアのC&Cサーバーへ送られています。被害者はより一般的な仮想通貨であるビットコインやEthereum、Moneroではなく、仮想通貨DASHで400ドルの身代金を支払わねばなりません。

このマルウェアはC2サーバーに「.bit」というトップレベルドメイン(TLD)を使用しています。Dot-bitはブロックチェーンテクノロジーを使って、DNSの分散化を目指しており、そうすることでプライバシーとセキュリティ―を高めています。しかし、TLDはICANN(Internet Corporation for Assigned Names and Numbers)の規制対象ではないため、これらのドメインを解決するためには、それをサポートするサーバー上でDNSクエリを実行しなければなりません。そのために、GandCrabはこれまでdns1.doprodns.rua.dnspod.comを使用してきました。

図1. ディレクトリにドロップされたGandCrabのランサムノート

図1. ディレクトリにドロップされたGandCrabのランサムノート

図2. TOR でホストされたGandCrabの支払いページではDASH通貨を要求

画像内テキスト訳:

残念ですが、あなたのファイルは暗号化されました!
心配はご無用です。ファイルはすべて取り戻せます! 私たちが力になります!
ファイルの複合ツールの価格は400ドルです。
UTC(協定世界時)2018年3月17日06:04:51までに支払いがなければ、ファイルを復号する費用は二倍になります。
料金が二倍になるまでにあと1日と23時間59分6秒です。

図2. TOR でホストされたGandCrabの支払いページではDASH通貨を要求


奇妙な情報から、さらに奇妙な状況へ

このマルウェアが被害者のファイルの暗号化を始める前に、基本情報(コンピューター名、ユーザー名、言語など)が識別のために収集されます。そして、ファイルの暗号化に使われているBase64エンコードのRSA公開鍵と秘密鍵が、この基本情報に追加されC2サーバーに送られます。

私たちのシステムがキャッチしたGandCrabの新たな亜種を分析していると、同じ関数内に新たな情報のフィールドらしきものが目にとまりました。ハードコードされた「&advert=+380668846667」が追加されているのが、以下でご覧いただけます。

Fig.3 Screenshot of the victim info assembly function with the new

Fig.3 Screenshot of the victim info assembly function with the new "advert" info

最初は、マルウェアの配布者への報酬によく使用される何らかの照会情報かアフィリエイトIDだろうと想定しました。しかし、C2サーバーに送られる情報に含まれていなかったので、この想定では筋が通りません。基本的に、個人的な目的のためのダミーの文字列のように思えます。これはGandCrabでは珍しいことではありません。実際、冒頭で述べた復号ツールがリリースされて以降、作成者はC2のドメイン名のいくつかを、politiaromana.bitmalwarehunterteam.bit と変えて、プロジェクト参加者を称えて(あざ笑って)います。

+380668846667」というフィールドの数字の部分を少し見ていくと、ロシアのハッキングサイトforum.exploit.inにあったスレッドに出くわしました。このスレッドは「Shut Up」というニックネームのメンバーが始めたものでした。この人物は、「病気の子供たち」のための寄付を募っていました。こうした犯罪者コミュニティでこのような嘆願に出くわすとは不可解です。他のメンバーが懐疑的になり、調査をしたのも同じ理由からでしょう。

以下はメンバーの1人が収集した詳細のスクリーンショットです。連絡先の番号が、Qiwiという支払いシステムの口座に登録されているアカウントの1つとして記載されています。

Fig.4 Forum member reveals info about the poster

Fig.4 Forum member reveals info about the poster

最終的に、掲載者を以前禁止されたアカウントと結び付けることができたため、「これは詐欺である」と、このフォーラムでは結論付けました。詐欺としては微妙なトピックであることから、おおいに叩かれることとなりました。これにより、詐欺を行ったとされる人物は他のメンバーから脅されることとなり、その中に「GandCrab」というあだ名の人物もいました。フォーラムのメンバーのなかには、何らかの処罰を提案するものもいましたが、ランサムウェアの作成者は、詐欺師の処罰に対して報酬を提供し、連絡先の番号をメンバーのコードに追加して公開することにしたようです。

Fig.5 GandCrab

Fig.5 GandCrab "seller" offers reward for the scammer's punishment

Fig.6 Conversation where GandCrab hints he added the contact to the code

Fig.6 Conversation where GandCrab hints he added the contact to the code


結論

マルウェアの亜種間での変化を発見すると、マルウェア運用に関連した情報が明らかになることがあり、それを緩和戦略に使用することが可能です。そして奇妙なことですが、調査が行き詰まるという結果になっても、心温まる話に遭遇することもあるのです。しかし、常に調査、検証をすることの重要性に変わりはありません。

FortiGuardはこれからも常にこの脅威を監視し、変化に注目していきます。

-= FortiGuard Lion Team =-


IOC

ファイル

95256aed4298a4732ed25a114c0b4c1cbad691bba2831dad81b40b3f9304afa0 (packed) - W32/GandCrab.KAD!tr.ransom
b3f0633706a574ca8e2e429ffad50b769148ec0f5bd75adb1f9cc38b485e2cff (unpacked) - W32/GandCrab.KAD!tr.ransom

ネットワーク

politiaromana.bit
malwarehunterteam.bit
gdcb.bit
gandcrab.bit
nomoreransom.coin
nomoreransom.bit
ns1.virmach.ru (DNS server)
ns2.virmach.ru (DNS server)