調査日: 2022-11-21

本レポートは、ファイル暗号化を目的とする悪質なランサムウェア「KeyGroup」に関する技術分析結果をまとめたものです。KeyGroupは、システムに侵入後、持続性を確保するための追加実行ファイルを登録し、標的システム上のファイルを特定の拡張子（例: .7z.4bPQb6-PrwjRN）に変更して暗号化します。本分析は、インシデント対応および予防策策定の一助となることを目的としています。

当該ランサムウェアは「KeyGroup」と呼称されており、その主要な機能は標的システム上の機密データを暗号化し、身代金を要求することにあります。

ファイル情報

検体ファイルのバージョン情報および属性情報は以下の通りです。

KeyGroupランサムウェアの実行から暗号化に至る主要なプロセスは、持続性の確保に重点を置いています。

• 追加実行ファイルの登録と持続性の確保

  マルウェアは、特定のシステムディレクトリに自身または追加の実行ファイルを生成します。その後、システム再起動後も自動的に実行されるよう、スタートアップ機構（レジストリまたはスタートアップフォルダ）に登録することで、持続性（Persistence）を確保します。

  

  <追加実行ファイルの登録 (レジストリまたはスタートアップ)>

  
  
  

  <追加実行ファイルの登録 (ファイルパス)>

  
  

ファイル拡張子の変更

KeyGroupランサムウェアは、暗号化処理を完了した後、全てのファイルに対して以下の形式で拡張子を変更します。これにより、元のファイルはアクセス不能となります。

変更後の形式: <元のファイル名>.<元の拡張子>.7z.4bPQb6-PrwjRN

の生成

身代金要求の案内ファイルは、暗号化された各フォルダ内に「README8.txt」という名前で生成されます。このファイルには、被害者に対する復号手順や連絡先が記載されています。

KeyGroupランサムウェアを含む脅威からシステムを防御するため、組織は以下の対策を徹底することが強く推奨されます。

• 定期的なバックアップの実施: 重要なデータは、ネットワークから隔離された環境（オフラインストレージなど）に定期的にバックアップし、リストア手順を検証してください。
• システムおよびソフトウェアの最新化: OS、アプリケーション、セキュリティ製品のパッチを速やかに適用し、既知の脆弱性を解消してください。
• エンドポイントセキュリティの強化: EDR (Endpoint Detection and Response) や次世代型アンチウイルス製品を導入し、不審なプロセス実行や持続性確保の試みをリアルタイムで検出・遮断する体制を構築してください。
• 最小権限の原則の適用: ユーザーアカウントおよびサービスアカウントには、業務遂行に必要最小限の権限のみを付与してください。

検出・遮断の例

適切なセキュリティソリューションを導入することで、ランサムウェアの悪性な動作をリアルタイムで検知し、暗号化の実行を阻止することが可能です。