調査日: 2023-02-06
本レポートは、2023年2月6日に確認されたLIZARDランサムウェアによる侵害事案に関する技術分析結果をまとめたものです。LIZARDは、既知のPhobosランサムウェアファミリーの亜種と特定されており、標的システムの全データを暗号化します。このマルウェアは、システムの復旧機能を無効化し、ボリュームシャドウコピーを削除するなど、復旧を妨害する高度な手法を採用しています。
暗号化後のファイル拡張子は、ファイル名.id[個人キー].[b1shops@tutanota.com].LIZARDの形式に変更されます。
ファイル名.id[個人キー].[b1shops@tutanota.com].LIZARD
LIZARDランサムウェアは、以下のファイル情報を持つ実行ファイルとして確認されました。暗号化プロセスを確実に行うため、複数のシステム設定変更を試みます。
LIZARDランサムウェアは、以下の詳細な手順に従ってシステムへの侵害と暗号化を実行します。これらの手順は、持続性の確保と復旧の妨害を目的としています。
ランサムウェアがバックグラウンドで動作中に例外が発生する可能性を考慮し、Windowsのエラー回復通知ウィンドウの出力を終了させ、システムの復旧モードを無効化します。
<Windowsエラー回復通知および復旧モードの設定>
暗号化プロセスが失敗した場合でも自動的に再実行されるよう、自身をスタートアッププログラムに登録し、システム再起動後の持続性(Persistence)を確保します。
<スタートアッププログラムへの登録>
対象PCのセキュリティ環境を脆弱化させるため、関連するファイアウォール設定を解除します。
<Windowsファイアウォールの解除>
暗号化後、ユーザーによるファイル復元を困難にするため、WMIクエリを使用してシャドウコピーの存在を確認し、CMDコマンドを通じてそれらを削除します。
<ボリュームシャドウコピーの確認>
<ボリュームシャドウコピーの削除>
暗号化が完了すると、以下の被害状況が確認されます。
暗号化されたファイルは、元のファイル名に加えて、.id[個人キー].[b1shops@tutanota.com].LIZARDという形式の拡張子が付与されます。
.id[個人キー].[b1shops@tutanota.com].LIZARD
<暗号化後のファイル拡張子 (例1)>
<暗号化後のファイル拡張子 (例2)>
身代金要求に関する案内ファイルは、各フォルダ内にinfo.txtおよびinfo.htaという名前で生成されます。
info.txt
info.hta
<ランサムノートの生成>
LIZARDランサムウェアのようなPhobos亜種による被害を最小限に抑えるため、以下の対策を強く推奨します。
ランサムウェアの主要な攻撃手法であるVSS削除に対抗するため、ネットワークから隔離された環境(オフラインまたはクラウド)に重要なデータを定期的にバックアップしてください。
振る舞い検知機能を持つEDR(Endpoint Detection and Response)や次世代アンチウイルス製品を導入し、暗号化プロセスやシステム設定変更といった悪意ある動作をリアルタイムで検知・阻止する体制を構築してください。
<悪性動作の検知とブロック (概念図)>
<リアルタイムでの防御機能の重要性>
OS、アプリケーション、特にリモートアクセスサービス(RDPなど)の脆弱性を悪用した侵入を防ぐため、常に最新のセキュリティパッチを適用してください。
最小権限の原則に基づき、ユーザーアカウントやサービスアカウントの権限を制限し、ランサムウェアがネットワーク全体に拡散するリスクを低減してください。
注記: 侵害が確認された場合は、直ちに感染端末をネットワークから隔離し、専門のインシデントレスポンスチームによるフォレンジック調査を実施してください。