調査日: 2024-12-24
Kasper (Biobio) ランサムウェアと推定される侵害事案が確認されました。これを受け、当該事象に関する調査結果と注意喚起を以下の通り報告いたします。
本マルウェアは「Kasper」として識別されており、感染したファイルの拡張子を「.Biobio」に変更する挙動を示しています。
ファイルバージョン情報
ランサムウェアの動作特徴
本ランサムウェアはC++で開発されており、マルチモードをサポートするように設計されており、多様な環境下での柔軟な動作を可能にしています。実行時に追加パラメータを受け取り、特定の動作モードをアクティブ化します。ミューテックス(Mutex)を利用して同一システム内での重複実行を防止し、リソースの非効率な消費を防ぎます。攻撃対象はPCのローカルドライブに限定されず、リムーバブルメディアやネットワーク共有フォルダにも及ぶため、ネットワーク環境下では特に甚大な被害を引き起こす可能性があります。暗号化完了後、コマンドプロンプト(cmd)経由の命令により、ボリュームシャドウコピー(VSS)を削除し、システムのゴミ箱データを完全に消去します。これは、被害者がデータ復旧を試みる可能性を組織的に排除する意図があるものと見られます。これらの操作は、既存のバックアップやデータ復旧ツールの有効性を無力化することを目的としています。最後に、ランサムウェアは自己をシステムから完全に削除し、フォレンジック分析やサンプル確保を困難にします。この自己削除メカニズムは、痕跡を残さず検知を回避し、分析を遅延させる役割を果たします。
<パラメータに応じたマルチモードのサポート>
<重複実行防止のためのミューテックス設定>
<全てのドライブパスへの攻撃対象拡大>
<ボリュームシャドウコピーの削除処理>
<ゴミ箱の完全消去処理>
<ランサムウェア実行ファイルの自己削除>
感染結果
暗号化が完了すると、各フォルダ内に「biobio ransomware.txt」という名称の身代金要求ファイルが生成されます。暗号化された各ファイルは「元のファイル名.元の拡張子.Biobio」へとリネームされます。暗号化完了後、このテキストファイルが実行されます。
<感染結果(身代金要求ファイルとファイル拡張子の変更)>
本セクションでは、侵害から暗号化完了に至るまでの具体的な動作フローを記述します。
本ランサムウェアの脅威に対処し、将来的な侵害を防ぐために、以下の対策を強く推奨いたします。
ホワイトディフェンダー製品は、本ランサムウェアの悪意ある挙動を検知・遮断するだけでなく、暗号化処理が開始される前のファイル状態に対してリアルタイムでの自動復元機能を提供します。
<遮断メッセージの例>