Cortizol Ransomware

マルウェア感染は規模と複雑さを増し続けており、個人や組織はあらゆるデバイスに強力な防御を維持することが不可欠となっています。特にランサムウェアは、データの機密性を侵害するだけでなく、ユーザー自身のファイルへのアクセスを遮断することで可用性を阻害するため、深刻なリスクをもたらします。最近分析された脅威の一つに、これらの危険性を体現するCortizolランサムウェアがあります。これは、脅迫や技術的な操作によって被害者から金銭を詐取することを目的とした、高度なファイル暗号化マルウェアです。

Cortizolランサムウェア：計算された暗号化スキーム

Cortizolランサムウェアは、情報セキュリティ研究者による詳細なマルウェア調査の中で特定されました。システム上で実行されると、このランサムウェアはファイルを暗号化し、ファイル名を特徴的なパターンで変更します。暗号化されたファイルには、被害者ID、連絡先メールアドレス、および「.Cortizol」拡張子が付加されます。例えば、元々「1.png」というファイル名だったファイルは「1.png-id-6640599815[cortizol@atomicmail.io].Cortizol」に、「2.pdf」は「2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol」に名前が変更されます。

このファイル名変更には2つの目的があります。1つは、ファイルが人質に取られたことを明確に示すこと、もう1つは、攻撃者が被害者を追跡するために使用する識別情報を埋め込むことです。ファイルの暗号化に加え、Cortizolはデスクトップの壁紙を変更して攻撃の視認性を高め、「HOW_TO_RECOVER.txt」というタイトルの身代金要求メッセージを表示することで、被害者が事件を見逃すことがないようにしています。

身代金要求書と心理的圧力

身代金要求メッセージには、侵入したシステム上のすべてのファイルが暗号化されており、攻撃者が保有する固有の秘密鍵がなければ復号は不可能であると記載されています。被害者は、サードパーティ製の復号ツールを使用したり、暗号化されたファイルの名前を変更したりすると、データが永久に破損する恐れがあると警告されています。このような警告は、自発的な復旧を阻止するための一般的な心理的戦術です。

Cortizolは、被害者に対し、「C:\ProgramData\」ディレクトリまたはその他のドライブに保存されているとされる「key.Cortizol」というファイルを見つけ、攻撃者に送信するよう指示しています。さらに、このキーファイルを保存せずにWindowsオペレーティングシステムを再インストールまたは変更しないよう警告しており、指示に正確に従わない場合、回復不能なデータ損失の恐れがあります。連絡チャネルには、メールアドレス cortizol@atomicmail.io が含まれます。
Cortizol2025というTelegramアカウントも存在します。この多チャネルの連絡方法により、被害者が応じる可能性が高まります。

攻撃者は秘密鍵の購入がアクセスを回復する唯一の方法だと主張していますが、サイバーセキュリティ分野の経験から、身代金を支払ってもファイルの回復が保証されるわけではないことが一貫して示されています。サイバー犯罪者は、有効な復号ツールを提供しない、あるいは支払い後に通信を停止する可能性もあります。

感染ベクターと感染経路

Cortizolランサムウェアは、様々な確立された配布手段を用いて拡散します。フィッシングメールは依然として最も効果的な配信手段の一つであり、ペイロードのダウンロードを誘発する悪意のある添付ファイルや埋め込みリンクが含まれていることがよくあります。偽のテクニカルサポートスキームやソーシャルエンジニアリング戦術は、ユーザーとのやり取りの機会をさらに高めます。

脅威アクターは、海賊版ソフトウェア、クラック、非公式またはピアツーピアのファイル共有ネットワークから入手したキージェネレーターなどを通じてランサムウェアを拡散します。侵害されたウェブサイト、偽の広告、感染したUSBドライブ、そして古いソフトウェアの脆弱性を悪用した攻撃も、ランサムウェアの侵入経路となります。悪意のあるペイロードは通常、実行ファイル、スクリプト、ZIPやRARなどの圧縮アーカイブ、あるいはWord、Excel、PDFファイルといった一見正規の文書ファイルの中に隠されています。このように悪意のあるコードが一般的なファイル形式と混在することで、感染の成功率が向上します。

影響と感染後のリスク

Cortizol は一度アクティブになると、アクセス可能なファイルを暗号化するだけでなく、侵害対象となる追加データのスキャンを継続する可能性があります。削除されないまま放置されると、ランサムウェアは同一ネットワーク内の接続されたシステム全体に横方向拡散し、業務の中断と経済的損害を拡大する可能性があります。マルウェアがデバイス上に長く留まるほど、暗号化が拡張され、二次的なペイロードが展開されるリスクが高まります。

攻撃者の秘密鍵なしでの復旧は、安全で影響を受けていないバックアップが存在しない限り、通常は不可能です。そのため、信頼性の高いオフラインまたはクラウドベースのバックアップを備えた組織や個人ユーザーは、恐喝の要求に屈することなく業務を復旧できる可能性がはるかに高くなります。

ランサムウェアに対する防御の強化

Cortizolのような脅威に対する効果的な防御には、技術的な安全対策とユーザーの意識向上を組み合わせた多層的なセキュリティアプローチが必要です。以下の対策を講じることで、ランサムウェア感染のリスクを大幅に低減できます。

• オフラインまたはプライマリ システムから分離された安全なクラウド環境に保存される定期的な自動バックアップを維持します。
• 既知の脆弱性を修正するために、オペレーティング システム、アプリケーション、セキュリティ ソフトウェアを最新の状態に保ちます。
• ランサムウェアの動作パターンを検出できる信頼できるエンドポイント保護ソリューションを使用します。
• 非公式のソースやピアツーピア ネットワークから海賊版ソフトウェアやファイルをダウンロードしないでください。
• 特に不明な送信者や予期しない送信者からの電子メールの添付ファイルを扱ったり、リンクをクリックしたりする場合には注意してください。
• 絶対に必要であり、安全であると確認されている場合を除き、Office ドキュメント内のマクロを無効にします。

これらの対策に加えて、検出されたランサムウェアを迅速に削除することは、さらなるファイル暗号化やネットワークへの拡散を防ぐために不可欠です。インシデント対応手順には、影響を受けたシステムをネットワークから隔離し、徹底的なマルウェアスキャンを実施し、可能な場合はバックアップからクリーンなデータを復元することが含まれます。

Cortizolランサムウェアは、現代のランサムウェアが技術的な暗号化メカニズムとソーシャルエンジニアリング、そして心理的圧力を巧みに融合させていることを如実に示しています。プロアクティブなセキュリティ対策と信頼性の高いデータバックアップ戦略を組み合わせることが、進化を続けるサイバー脅威に対する最も効果的な対策であり続けます。