Browlock ランサムウェア(Trojan.Ransomlock.AG)は、現在出回っているランサムウェアの中でもおそらく最も単純な亜種でしょう。Ransomlock.AEのように別の悪用コンポーネントをダウンロードするわけでもなく、Trojan.Cryptolockerのようにコンピュータ上のファイルを暗号化するわけでもありません。侵入先のコンピュータ上でプログラムとして実行されることすらありません。このランサムウェアは昔ながらの単純な Web ページにすぎず、ブラウザのタブを閉じられなくする JavaScript が仕掛けられているだけです。ユーザーが住んでいる国または地域を判定したうえで、違法なアダルトサイトにアクセスしたと説明し、地元の警察当局に罰金を支払うよう要求するという典型的な脅迫を実行します。
図 1.違法なアダルトノサイトにアクセスしたとして罰金を要求する Browlock ランサムウェア
驚かされるのは、Browlock の Web サイトにリダイレクトされたユーザーの数です。11 月に、シマンテックは Browlock の Web サイトへの接続を 65 万件以上も遮断しましたが、同じ傾向は 12 月も続いています。22 万件を超える接続が、12 月に入ってからわずか 11 日間で遮断されているのです。追跡を開始した 9 月からの合計では、約 180 万件の接続が遮断されていることになります。
悪用ツールキットやトラフィックリダイレクトシステムをよく知っている方には、こうした数字もとりたてて大きくは見えないかもしれませんが、これはシマンテック製品のユーザーに限った数字です。11 月に検出された 65 万という接続数はごく一部にすぎず、実際の数字はもっと大きい可能性があります。
図 2. 2013 年 11 月と 12 月における Browlock ランサムウェアの活動状況
上に示した数字は、1 日あたりに検出された活動の総数です。攻撃は断続的に発生しており、特に際立っているのは 11 月 3 日と 11 月 16 日です。11 月 16 日には、13 万以上のコンピュータが Browlock の Web サイトへのリダイレクトを遮断されています。
攻撃手法
Browlock を使う攻撃者は、さまざまなアクセスを悪質な Web サイトにリダイレクトするトラフィックを購入している節があります。ここで使われているのがマルバタイジング(悪質な広告)です。マルバタイジングは、正規のネットワークからの広告購入を伴うアプローチとして広がりつつあります。広告先はアダルトサイトと思しきページで、そこから Browlock の Web サイトにリダイレクトされます。
Browlock の攻撃者が購入するトラフィックのソースは何種類かありますが、中心となるのはアダルト広告ネットワークです。Malekalや Dynamooなど、複数のセキュリティ研究者が過去数カ月にわたってこの活動を追跡しています。
最近の例では、攻撃者は広告ネットワークで複数種類のアカウントを作成し、支払い金を預けてから、オンラインチャットフォーラムに類似した名前の Web サイトにユーザーをリダイレクトするトラフィックを購入し始めていました。ユーザーがこのページにアクセスすると、Browlock のサイトにリダイレクトされます。実際、攻撃者はランサムウェアサイト自体と同じインフラに、正規のように見えるドメイン名をホストしています。
Browlock のインフラ
被害者が Browlock の Web サイトにリダイレクトされる際に、被害者と、その被害者の国や地域の法執行機関ごとに固有の URL が生成されます。たとえば、米国からアクセスしたユーザーは次のような URL に誘導されます。
fbi.gov.id693505003-4810598945.a5695.com
この URL には特徴的な要素が 2 つあります。fbi.gov という値と、実際のドメインである a5695.com です。fbi.gov という値は、明らかに米国の法執行機関を表しています。シマンテックは、およそ 25 の地域における 29 種類の法執行機関を表す値を特定しました。次のグラフは、特定された法執行機関のうち上位 10 位までについて接続の比率を示したものです。米国からのトラフィックが最も多く、ドイツ、ユーロポール(欧州警察組織)がそれに続いています。ユーロポールは、特定のイメージテンプレートが作成されていないときの欧州各国が対象です。
図 3. Browlock の標的となった上位 10 の機関
次に問題となる値はドメインです。追跡を開始して以来、196 のドメインが確認されています。ドメインはいずれも、アルファベット 1 文字に 4 桁の数字が続き、.com で終わるという形式です。実際のドメインは、過去 4 カ月にわたって何種類もの IP アドレスでホストされています。
最も活動的な自律システム(AS)は AS48031 - PE Ivanov Vitaliy Sergeevich で、これは過去 4 カ月のどの月にも使われていました。攻撃者は、この AS で 7 種類の IP アドレスを順に使っています。
まとめ
Browlock ランサムウェアの戦術は、単純ですが効果的です。攻撃者は、悪質な実行可能ファイルを使わず、また悪用ツールキットにもアクセスしないことで予算を節約しています。被害者はブラウザを閉じさえすれば Web ページから逃れることができるので、誰も支払いなどしないとも考えられます。しかし、Browlock の攻撃者がお金を払ってトラフィックを購入しているのは明らかである以上、その投資を回収していることは確実です。アダルトサイトのユーザーを狙って、被害者の困惑につけ込むという通常のランサムウェアの手口も依然として続いており、それも成功率に貢献していると思われます。
シマンテックは、IPS とウイルス対策のシグネチャでお客様を Browlock から保護しています。
利用されている悪質なインフラ
AS24940 HETZNER-AS Hetzner Online AG
- IP アドレス: 144.76.136.174、リダイレクトされたユーザーの数: 2,387
AS48031 - PE Ivanov Vitaliy Sergeevich
- IP アドレス: 176.103.48.11、リダイレクトされたユーザーの数: 37,521
- IP アドレス: 193.169.86.15、リダイレクトされたユーザーの数: 346
- IP アドレス: 193.169.86.247、リダイレクトされたユーザーの数: 662,712
- IP アドレス: 193.169.86.250、リダイレクトされたユーザーの数: 475,914
- IP アドレス: 193.169.87.14、リダイレクトされたユーザーの数: 164,587
- IP アドレス: 193.169.87.15、リダイレクトされたユーザーの数: 3,945
- IP アドレス: 193.169.87.247、リダイレクトされたユーザーの数: 132,398
AS3255 - UARNET
- IP アドレス: 194.44.49.150、リダイレクトされたユーザーの数: 28,533
- IP アドレス: 194.44.49.152、リダイレクトされたユーザーの数: 134,206
AS59577 SIGMA-AS Sigma ltd
- IP アドレス: 195.20.141.61、リダイレクトされたユーザーの数: 22,960
Nigeria Ifaki Federal University Oye-ekiti
- IP アドレス: 196.47.100.2、リダイレクトされたユーザーの数: 47,527
AS44050 - Petersburg Internet Network LLC
- IP アドレス: 91.220.131.106、リダイレクトされたユーザーの数: 81,343
- IP アドレス: 91.220.131.108、リダイレクトされたユーザーの数: 75,381
- IP アドレス: 91.220.131.56、リダイレクトされたユーザーの数: 293
AS31266 INSTOLL-AS Instoll ltd.
- IP アドレス: 91.239.238.21、リダイレクトされたユーザーの数: 8,063
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。