調査日: 2024-05-20
Hitobito と特定されたランサムウェアによる侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本マルウェアは「Hitobito」と呼称され、感染環境内のファイルを「ファイル名.拡張子.hitobiyo」という形式で一律に変更していることが確認されています。
実行ファイル情報
本ランサムウェアは VB.NET を基盤としており、内部コードは商用難読化ツールである「.NET Reactor」によって難読化されています。動作時、全ファイルの暗号化処理と並行して、スタートアップ(起動プログラム)のレジストリに実行ファイルが登録されます。この際、実行ファイル名に「-alerta」という引数が付加されます。内部テストの結果、この引数付きで実行した場合、暗号化プロセスをスキップし、ランサムノートのGUIが直接表示されました。ノートがアクティブな状態では、タスクマネージャーを周期的に終了させる動作が確認されています。
<スタートアップレジストリに「-alerta」引数が付加された状態>
侵害結果
身代金要求ファイル(ランサムノート)はデスクトップ上に「< KageNoHitobito_ReadMe.txt >」として生成されます。ランサムウェア自体がノートUIを表示した後、追加的にこのテキストファイルが配置されます。暗号化が完了したファイルは「<ファイル名.拡張子.hitobiyo>」へと拡張子が変更されます。
<感染結果の例>
弊社ソリューション(ホワイトディフェンダー)は、本ランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化処理が進行する前のファイルに対してもリアルタイムでの自動復元機能をサポートします。
<遮断メッセージ>