CTB-Lockerランサムウェアの新種、70台のWebサーバーに感染

2016年3月29日

絶えず新たな市場を探しているのは、デキるビジネスパーソンだけではありません。サイバー犯罪者も同じです。さまざまな手口を試み、ターゲット層を変え、標的にフィードバックを送る。すべてはもっと楽をして儲けるため。まさにこれが、最新バージョンのCTB-Lockerで確認された手口です。

ctb-locker-web-servers-featured

このランサムウェアファミリーの手口は、以前からかなり巧妙でした。たとえば、Torプロジェクトの匿名ネットワークを使ってセキュリティエキスパートの目をくらまし、身代金の支払いは足取りをつかみにくいBitcoinだけを受け付けていました。

さて今回、個人ユーザーにとってはありがたく、企業にとっては残念なお知らせがあります。最新のCTB-Lockerは、Webサーバーに標的を絞っているのです。従来のランサムウェアがユーザーのファイルを暗号化していたのに対し、このCTB-Lockerは、サーバーのWebルートでホストされるデータを暗号化します。これらのファイルがなければ、Webサイトは存在しません。

犯罪者は身代金として150ドル(正確には0.4 Bitcoin)を要求します。期日までに身代金が支払われなければ、金額が倍になります。

また犯罪者は、ハッキングしたWebサイトのメインページを書き換え、メッセージを表示します。そこには、何が起きたのか、いつまでにどうやって送金するのかが詳しく説明されています。親切なことに、Bitcoinの買い方がわからない人のためにビデオマニュアルまで付けているほか、自分たちの「誠実さ」を証明するため、ランダムに選んだ2つのファイルの復号を申し出ています。さらには、標的だけが使える特殊なコードを使って攻撃者とチャットすら可能です。

当社が把握しているだけでも、新たなCTB-Lockerによってデータを暗号化されたサーバーは、すでに10か国で70台を超えています(英語記事)。最も影響を受けたのは米国のサーバーですが、それも当然でしょう。

ctb_locker_en_123

CTB-Lockerランサムウェアは、標的ユーザーを救済しうる復号ツールがまだ存在せず、まさにインターネットの大問題です。感染したファイルを速やかに取り返すには、身代金を支払うしかありません。

CTB-LockerがどうやってWebサーバー上で展開されるのか、正確なところはまだ判明していませんが、ある共通点が確認されています。それは、標的の大多数がWordPressプラットフォームを使っていることです。そこで、以下の対策を強くお勧めします。

  • WordPressを定期的にアップデートする。アップデートされていないバージョンには、大量の脆弱性が含まれていることがよくあります。
  • サードパーティ製のプラグインには十分注意する。このようなアドオンは、とても便利ですが、それは信頼できる開発元が作成した場合だけです。
  • 重要なデータはすべてバックアップする。
  • フィッシングメールに気を付ける。
  • 「話がうま過ぎる」オンライン広告は鵜呑みにしない。また、どんな目的であれ(Web分析など)、サードパーティ製のソフトウェアのインストールは控えましょう。

最新バージョンのCTB-LockerはWebサイトだけを標的としていますが、他にも個人のファイルを狙った暗号化マルウェアはいくつもあります。個人ユーザーの方は、信頼できるセキュリティ製品をインストールし、定期的にバックアップを実行してください。また、フィッシングに注意しましょう。ランサムウェアも含め、あらゆる種類の悪意あるプログラムで一番よく使われている手口が、フィッシングだからです。