調査日: 2023-01-03

2023年1月3日、Devosランサムウェアによる侵害事案が確認されました。本ランサムウェアは、主にメール添付ファイルのマクロ機能などを悪用してシステムに侵入し、ファイルを暗号化します。暗号化されたファイルは、特定の拡張子が付与され、システム復旧を困難にするための複数の悪性動作を実行します。

本検体は、実行時に以下のファイルバージョンおよび属性情報を示します。

Devosランサムウェアは、実行後、システム内で持続性を確保し、復旧を妨害するために以下の悪性動作を実行します。

• 自動権限昇格コマンドの実行

  AutoElevationの脆弱性を利用し、権限昇格コマンドを登録・実行します。

  

  <自動権限昇格コマンドの実行>

  
  

• 永続性の確立（スタートアップ登録）

  Windows起動時に自動的に再実行されるよう、スタートアッププログラムに自身を登録し、持続性を確保します。

  

  <スタートアップ登録>

  
  

• ファイアウォールの無効化

  外部との通信を容易にするため、またはセキュリティ対策を弱体化させるために、ファイアウォール設定を無効化します。

  

  <ファイアウォール設定の無効化>

  
  

• シャドウコピーの削除

  感染後のデータ復旧を困難にするため、ボリュームシャドウコピーサービス（VSS）によって作成された復元ポイントを削除します。

暗号化が完了すると、ファイル名は以下の形式に変更されます。

<ファイル名>.<拡張子>.id[個人キー].[henderson@cock.li].Devos

身代金要求ファイル（ランサムノート）は、暗号化された各フォルダ内にinfo.txtおよびinfo.htaという名前で生成されます。

検出・遮断の例

適切なエンドポイントセキュリティソリューションを導入している場合、ランサムウェアの悪性動作をリアルタイムで検知し、暗号化を阻止することが可能です。

Devosランサムウェアによる被害を最小限に抑えるため、以下の対策を推奨します。

• 侵入経路の防御: 信頼できない送信元からのメール添付ファイルは開封せず、特にOffice文書のマクロ機能はデフォルトで無効化設定を維持してください。
• エンドポイントセキュリティの強化: EDR（Endpoint Detection and Response）や次世代型EPP（Endpoint Protection Platform）を導入し、ファイルレス攻撃や異常なプロセス動作をリアルタイムで検知・遮断する体制を構築してください。
• 権限管理の徹底: 最小権限の原則に基づき、ユーザーアカウントの権限を制限し、ランサムウェアによる権限昇格の試みを困難にしてください。
• バックアップ戦略: 重要なデータは定期的にバックアップし、特にネットワークから隔離されたオフラインバックアップ（3-2-1ルール）を維持することで、暗号化被害発生時の迅速な復旧を可能にします。
• パッチ管理: OSおよびアプリケーションのセキュリティパッチを最新の状態に保ち、AutoElevationのような既知の脆弱性の悪用を防いでください。