調査日: 2023-07-06
Osirisランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本報告書は、Osirisランサムウェアによるものと見られるインシデントの技術的特徴、動作プロセス、および推奨される対策について詳述するものです。
当該ランサムウェアは「Osiris」と呼称されており、感染したファイルに対して、特定の構造を持つ拡張子を付与する特徴が確認されています。具体的には、<8桁のランダムID>–<4桁のランダムID>–<4桁のランダムID>–<8桁のランダムID>–<12桁のランダムID>.osiris の形式でファイル名が変更されます。
マルウェアのコンパイル情報およびファイルプロパティから、その出自やビルド環境に関する基礎情報を取得しました。
Windows標準暗号化関数の利用
本ランサムウェアは、Windows OSに標準搭載されている暗号化APIである BCrypt の関数群を利用してファイル暗号化を実行します。これにより、カスタムの暗号化ルーチンに依存せず、OSの標準機能を利用して暗号化処理を効率的に行っていると推測されます。
<動的実行時におけるBCryptEncrypt APIの使用>
デスクトップ背景の改ざん
暗号化完了後、攻撃者はユーザアカウントフォルダ内に画像ファイルを生成し、これをデスクトップの背景として設定します。これは被害者に対する身代金要求の通知を即座に行うための一般的な手法です。
<ユーザーアカウントフォルダ内に生成された画像>
<動的実行時のレジストリ変更箇所>
感染後の動作フローは以下の通りです。
身代金要求ファイルは、各ディレクトリに DesktopOSIRIS.htm として生成されます。ファイル暗号化が完了すると、前述の通り拡張子が変更され、最終的にデスクトップ背景が改ざんされます。
<感染結果(ランサムノートと拡張子変更の例)>
本件のようなランサムウェアの脅威に対し、以下の対策を講じることを強く推奨いたします。
インシデント対応製品による防御:
弊社製品(ホワイトディフェンダー)は、ランサムウェアの悪性動作を検知し、暗号化処理が開始される前に、対象となるファイルに対してリアルタイムでの自動復元をサポートします。
<遮断メッセージの例>