地下フォーラムで3000ドルで販売されているCritoniランサムウェア、Tor匿名ネットワークを使用してC&Cサーバーと通信

新しいランサムウェアであるCritoniが地下フォーラムで販売されています。このランサムウェアの特長は、Torネットワークを使用してリモートコマンドおよび制御サーバーと通信することです。これにより通信が匿名化され、ランサムウェアのコマンドがC&Cサーバーに到達する前に複数のTor匿名化セットアップを通過するため、検出されにくくなります。

初心者の方のために説明すると、ランサムウェアとは、コンピュータに感染するとさまざまな種類のファイル、文書、動画、画像を暗号化し、データを復号化するための鍵の対価として身代金を要求するマルウェアです。

Critoniの販売を提供する投稿は、フランスのセキュリティ研究者Kafeineによって発見されました。彼によれば、この広告は2014年6月中旬から掲載されているとのことです。彼はこのマルウェアの価格が3,000.00ドル/2,220.00ユーロ/180,000.00ルピーであると述べています。

この特定のマルウェアは、サイバー犯罪者によってCTB-Locker（Curve-Tor-Bitcoin Locker）と名付けられ、MicrosoftによってCritoni.Aと名付けられています。Critoniは楕円曲線に依存した持続的な暗号技術を使用しており、ファイルの復号化を不可能にします。鍵はランダムに生成され、同じ鍵が生成されるリスクはありません。感染した場合、取引の追跡を防ぐために身代金はビットコインで支払わなければなりません。このランサムウェアは、被害者がビットコインを持っていない場合に市場を通じてビットコインを取得する方法についてのチュートリアルも提供します。実際、被害者がTor匿名化ネットワークに不慣れな場合、Torのダウンロード方法についてのチュートリアルも提供されます。

Kafeineによれば、地下フォーラムの投稿には、インターネット接続がない場合でも暗号化プロセスを実行できると記載されていましたが、その場合にどのようにC&Cサーバーに接続できるのかは疑問です。Kafeineはまた、CritoniがAnglerエクスプロイトキットによって配信されているのが確認されているが、他の攻撃形態も野生で検出されていると報告しています。

Critoniのもう一つの特徴は、身代金支払いのために設定された期間が終了すると、ファイルロックプログラムが自動的に自己削除され、被害者にはデータを回収する別のチャンスが提供されることです。これらの指示は、ドキュメントフォルダー内にあるTXTファイルに記載されています。

カスペルスキーのセキュリティ専門家によれば、これはTorネットワークを使用してコマンドおよび制御サーバーとの通信を匿名化する最初の暗号マルウェアです。この種の保護は、Zuesマルウェアのような銀行トロイの木馬で一般的に見られています。

Threatpostの報告によると、カスペルスキーのフェドール・シニツィンは、「Tor接続を確立するための実行可能コードがマルウェアの本体に埋め込まれています。以前は、この種のマルウェアでは通常、Tor.exeファイルを使用していました。マルウェアの本体にTor機能を埋め込むことは、プログラミングの観点からはより難しい作業ですが、検出を回避し、全体的に効率的であるため、いくつかの利点があります。」と述べています。

Torネットワークを使用することで、検出のリスクが減少し、サイバー犯罪者がCritoni.Aの無防備な被害者を通じてビットコインを生成しやすくなります。