調査日: 2023-08-21
Invaderランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り実施いたします。
本ランサムウェアは「Invader」と呼称され、感染したファイルの拡張子を「.invader」に変更する挙動が確認されています。
実行ファイルの特性
ランサムウェアの動作特徴
実行ファイルの難読化と固定鍵値の使用
本マルウェアは.NET VB環境で作成されており、内部構造の解析を困難にするための商用レベルの難読化機能が適用されています。追加のドライブは標的とせず、ユーザーのライブラリフォルダおよびOneDriveの保存場所のみを対象として動作します。一般的なランサムウェアがランダムな値を生成し、その鍵を攻撃者サーバーへ送信するのとは異なり、本マルウェアは読み込んだファイル値をBase64でリバースした値を保存に使用します。ランサムノートは存在せず、デスクトップ上に公開ドメインを明記するに留まっています。この挙動から、不特定多数を対象とした無作為な拡散ではなく、特定の企業を標的とした攻撃である可能性が高いと推測されます。
<内部コードが難読化されている状態(左)と復号後の状態(右)>
<内部で難読化されている静的コード>
<ユーザーライブラリおよびOneDriveを標的とする静的コード>
<例外処理される拡張子および暗号化の静的コード>
<Base64で保存されているため、Hex値が一般的なファイル形式で保存されていない様子>
感染結果
身代金要求メモ(ランサムノート)は別途存在せず、暗号化完了後、変更されたデスクトップ上に通知内容が記載されます。暗号化処理が完了したファイルは「<ファイル名.元の拡張子.invader>」の形式に変更されます。
<感染結果>
ホワイトディフェンダーは、ランサムウェアの悪性動作を検知し、暗号化が実行される前に、対象となるファイルに対してリアルタイム自動復元機能をサポートします。
<遮断メッセージ>