フレンズランサムウェア

現代のサイバー脅威は貴重なデータを暗号化し、業務を妨害し、機密情報を漏洩させる可能性があるため、マルウェアからデバイスを保護することはこれまで以上に重要になっています。特にランサムウェアは、データ暗号化と、被害者に多額の金銭を支払わせるための恐喝戦術を組み合わせるため、最も被害の大きいマルウェアの一つです。その代表的な例がFriends Ransomwareです。これは、幅広いファイルタイプを標的にし、データ窃盗を利用して支払いの可能性を高める高度な脅威です。

Friendsランサムウェア：二重の恐喝を仕掛けるサイバー脅威

Friends Ransomwareは、サイバーセキュリティ研究者によって発見された悪質なプログラムで、侵害されたシステム上のファイルを暗号化し、復号鍵と引き換えに身代金を要求します。この脅威の背後にいる攻撃者は、ファイルの暗号化に加えて、被害者から機密情報を盗み出し、その後データをロックすると主張しています。この手口は、一般的に二重脅迫として知られており、攻撃者はデータの損失と機密情報の公開という2つの脅威を同時に脅迫することができます。

Friends Ransomwareはシステム上で実行されると、多数のファイルタイプをスキャンして暗号化します。この過程で、影響を受けたファイルに「.friends124」という拡張子を追加します。例えば、「1.png」というファイルは「1.png.friends124」に、「2.pdf」は「2.pdf.friends124」に変換されます。この拡張子は、ファイルがマルウェアによって処理され、通常の方法ではアクセスできなくなったことを示す明確な指標となります。

暗号化プロセスと身代金要求

暗号化処理が完了すると、ランサムウェアは「RANSOM_NOTE.html」という名前のファイルを作成し、被害者への指示を記載します。このメモには、ファイルが暗号化されたこと、および身代金交渉を開始するための連絡先情報が記載されています。被害者は、「recovery1@salamati.vip」と「recovery1@amniyat.xyz」というメールアドレスを通じて攻撃者と連絡を取るよう指示されます。Torネットワークを介した代替連絡方法も記載されています。

身代金要求のメッセージには、機密情報や個人データが攻撃者が管理するプライベートサーバーに収集・保存されていると記載されている。メッセージによると、被害者が身代金の要求に応じない場合、これらの情報は公開または第三者に売却されるという。ファイル復旧が可能であることを被害者に納得させるため、犯人は重要度の低いファイルを2、3個無料で復号化することを申し出ている。さらに、72時間以内に連絡が取れない場合は身代金が増額されると警告し、連絡を取る前にProtonMailアカウントを作成するよう被害者に勧めている。

身代金を支払うことが危険な決断である理由

被害者は、重要なファイルにアクセスできなくなった場合、身代金を支払うことを検討することがよくあります。しかし、サイバー犯罪者に身代金を支払っても、必ずしも復旧できるとは限りません。多くのランサムウェア攻撃では、有効な復号ツールを提供せずに身代金を徴収したり、影響を受けたすべてのデータを復元できないユーティリティを提供したりしています。

攻撃者が復号ツールを提供したとしても、身代金を支払うことは犯罪行為を助長し、他の個人や組織に対する将来の攻撃を誘発することになります。こうした理由から、サイバーセキュリティ専門家は身代金の支払いを強く推奨していません。ほとんどの場合、ランサムウェアに研究者が悪用して無料の復号ツールを開発できるような重大な実装上の欠陥がない限り、攻撃者の復号キーがなければ暗号化されたファイルを復元することはできません。

復旧およびインシデント対応

感染後、最優先事項は、感染したシステムからFriendsランサムウェアを削除することです。マルウェアを削除することで、それ以上のファイルの暗号化を防ぎ、悪意のある活動の再発リスクを軽減できます。ただし、マルウェアの削除だけでは、既に暗号化されたデータは復元されません。

最も確実な復旧方法は、感染前に作成されたバックアップからファイルを復元することです。バックアップは、攻撃中に影響を受けないように、プライマリシステムとは別に保存する必要があります。バックアップが同じネットワークに接続されている場合、または継続的にアクセス可能な状態にある場合、ランサムウェアはバックアップも暗号化しようとする可能性があり、被害者は復旧手段を失ってしまう恐れがあります。

Friendsランサムウェアの拡散方法

多くのランサムウェアファミリーと同様に、Friends Ransomwareは複数の配信チャネルを利用して潜在的な被害者にリーチします。フィッシングメールは依然として最も効果的な配信方法の一つです。これらのメールには、開くとマルウェアのダウンロードを開始する悪意のある添付ファイルやリンクが含まれていることがよくあります。攻撃者は、悪意のあるマクロを含むドキュメントファイル、圧縮アーカイブ、実行可能ファイル、PDF、JavaScriptベースのペイロードなどをよく利用します。

その他の感染経路としては、ランサムウェアを密かにインストールするトロイの木馬、偽のソフトウェアアップデート機構、悪意のある広告、侵害されたウェブサイト、信頼できないソースからダウンロードしたファイルなどが挙げられます。フリーウェアポータル、ピアツーピアファイル共有ネットワーク、その他の非公式な配布プラットフォームでは、正規のソフトウェアを装った悪意のあるファイルが頻繁にホストされています。感染したUSBドライブも、システム間でランサムウェアを拡散させる原因となります。

特に一般的な感染シナリオとして、ソフトウェアのクラックや不正なアクティベーションツールが挙げられます。サイバー犯罪者は、有料ソフトウェアの無料代替品に見せかけてマルウェアを偽装し、正規の配布ルートを迂回しようとするユーザーを狙うことがよくあります。一見無害に見えるこれらのプログラムは、実行されると警告なしにランサムウェアをインストールする可能性があります。

ランサムウェアに対する防御の強化

ランサムウェアに対する効果的な防御策には、技術的な安全対策とユーザーの安全な行動を組み合わせた多層的なセキュリティ戦略が必要です。組織や個人は、信頼できるセキュリティソフトウェアを維持し、オペレーティングシステムやアプリケーションが定期的にアップデートされるようにし、攻撃者に悪用される可能性のある不要な機能を無効にする必要があります。未知の送信元や予期しない送信元からのメール添付ファイルやリンクは、たとえ正当なものに見えても、常に注意深く扱うべきです。

定期的なデータバックアップは、最も重要な防御策の一つです。オフラインの外付けドライブや安全なリモートストレージソリューションなど、複数の場所にバックアップコピーを保持することで、攻撃後の復旧可能性が大幅に向上します。また、必要に応じてデータが正常に復元できることを確認するため、定期的にバックアップテストを実施する必要があります。

主なセキュリティ対策は以下のとおりです。

• オペレーティングシステム、ブラウザ、アプリケーションは、最新のセキュリティパッチで常に最新の状態に保ってください。
• リアルタイムの脅威検出機能を備えた、信頼できるエンドポイント保護ソフトウェアを使用してください。
• 少なくとも1つのオフラインコピー、またはその他の隔離されたコピーを含め、複数のバックアップを維持してください。
• 身に覚えのないメールの添付ファイルを開いたり、不審なリンクをクリックしたりすることは避けてください。
• ソフトウェアは公式かつ信頼できるソースからのみダウンロードしてください。
• 海賊版ソフトウェア、クラック、または不正なアクティベーションツールは使用しないでください。
• 可能な限り管理者権限を制限する。
• フィッシング詐欺やソーシャルエンジニアリング攻撃の手口について、ユーザーに周知徹底する。

最終評価

Friends Ransomwareは、ファイル暗号化、データ窃盗、恐喝を組み合わせた深刻なサイバーセキュリティ脅威です。攻撃者は、ファイルに「.friends124」という拡張子を追加し、「RANSOM_NOTE.html」というタイトルの身代金要求メモをドロップし、盗んだ情報を暴露すると脅迫することで、被害者への圧力を最大限に高めようとします。信頼できるバックアップがない場合、復旧手段は限られることが多いですが、強力なサイバーセキュリティ対策、定期的なバックアップ、タイムリーなソフトウェアアップデート、そして慎重なオンライン行動によって、ランサムウェア攻撃の成功率を大幅に下げ、感染した場合の影響を最小限に抑えることができます。