LokiLocker

ほぼこもセキュリティニュース By Terilogy Worx

これは新しいRaaSです。
似た名前のものがいくつかありますが、これはどうやら新種です。
コードの類似性から考えると既存の何かの新種というより新しく実装されたもののようです。

  • RaaSである
    分類としてはランサムウェアです。
    ファイルを暗号化し、時間内に支払いを行わないとマシンを使用できなくします。
  • 現在のターゲット
    英語話者向けの表示内容になっています。
    ターゲット環境はWindowsです。
  • 実装形式は複雑
    マルウェアは.NETで記述され、KoiVMと呼ばれる追加の仮想化プラグインを使用してNETGuard(変更されたConfuserEX)で保護されます。
    この実装形式をとっているため、このマルウェアはプロセスを動作環境からみる場合において、メモリダンプに対する保護や制御フローの難読化やデコンパイラを無効にするような効果を生みます。
    静的解析は困難ですし、動的解析をする場合においてもこのマルウェアがどのようなシステムコールを含んでいるのかを事前に解析することは容易ではありません。
    実際にマルウェアがシステムコールを実行するまでそれが実施されることがわからないのです。
    KoiVMがこのような使い方でマルウェアに悪用されているケースはあまり確認されていません。
  • 暗号化の実施
    ファイル暗号化用のAESとキー保護用のRSAの標準的な組み合わせを使用して、ローカルドライブとネットワーク共有上の被害者のファイルを暗号化します。
  • 脅迫文の掲示
    脅迫文には身代金の支払い方法に関する指示を取得するために攻撃者に電子メールを送信するように書かれています。
    掲示はログイン後の壁紙として表示するだけでなく、ログインする際に必ずOKボタンをクリックしないと次に進めないような形式でも表示されます。
  • ワイパー機能
    攻撃者が指定した時間枠内に被害者が支払いを行わない場合、システム以外のすべてのファイルが削除され、MBRが上書きされ、被害者のすべてのファイルが消去され、システムが使用できなくなります。
    ただ何もせずに待っているだけでは、そのパソコンはただの箱になります。
  • 永続化機能
    マルウェアは自身を「%ProgramData%/winlogon.exe」にコピーし、その属性を非表示およびシステムに設定し、「LokiLocker」と呼ばれるミューテックスを作成します。
    そして複数の方法の起動を仕掛けます。
    schtasksによる起動時タスクの登録や起動時に実行されるプログラムを指定するレジストリキーへの挿入などを行います。
  • C2との通信
    現時点では固定のFQDNに対して通信を行います。
    宛先は「loki-locker[.]one」です。
    現時点でドメイン名の自動生成機構は実装されていないようです。
    このマルウェアはほとんどの部分が自動動作するようになっています。
    C2との通信ではパソコンの暗号化の進捗状況の通知などに使用されているようです。
  • 調査防御機能
    調査を行うことも難しくされています。
    cmd.exe、taskmgr.exe、regedit.exeを起動するとそれをすぐに停止させるように書かれたスレッドが起動されます。
    暗号化が完了するとOS自体が停止されるように設定する機能も搭載されています。
  • 国の除外機能
    マルウェアの動作を除外する国についての設定が実装されています。
    現時点ではこの除外される国のところには、イランだけが記載されています。
    いろいろな難読化手法が盛り込まれているのにこの部分はそういった処理が実施されていません。
    本当に除外する機構を動作させる目的でこの設定が記述されているのかはわかりません。

このマルウェアは現在まだベータ段階にあるようです。
なんらかの方法で厳選された30のアフィリエイトだけが使用を開始しているようです。
いずれ機能がもっと拡張されたり回避機構がもっと追加されたりした後、大規模に展開が開始されるかもしれません。

マルウェアに汎用の特効薬はありません。
日々実施すべき運用を継続し危機に備えるということになりそうです。

参考記事(外部リンク):New Ransomware Family Identified: LokiLocker RaaS Targets Windows Systems
blogs.blackberry.com/en/2022/03/lokilocker-ransomware

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。