Hitobito Ransomware

サイバーセキュリティ研究者は、「hitobito」という名前の新しいランサムウェアの脅威を特定しました。この脅威的なソフトウェアは、感染したデバイス上のファイルを暗号化し、ユーザーがアクセスできなくします。その後、攻撃者は、影響を受けたデータの復号化と引き換えに、被害者に支払いを要求します。 hitobito を起動すると、暗号化されたファイルの元のファイル名に拡張子「.hitobito」が追加されます。たとえば、ロックされたすべてのファイルについて、「1.png」という名前のファイルは「1.jpg.hitobito」として表示され、「2.pdf」という名前のファイルは「2.pdf.hitobito」として表示されます。

暗号化プロセスの後、hitobito はポップアップ ウィンドウに身代金メモを表示し、「KageNohitobito_ReadMe.txt」というタイトルのテキスト ファイルに別のメモを生成します。どちらのメッセージにも同じ内容が含まれています。重要なのは、発見された hitobito ランサムウェアのバージョンは、被害者が攻撃者と協力しなくても復号可能であることが判明したことです。

データを人質にして被害者を恐喝しようとするヒトビト

hitobito の身代金メモは、データが暗号化されていることを被害者に知らせ、Tor ネットワーク Web サイト上のチャットを通じて攻撃者と連携して復号化の価格を交渉するよう促します。ただし、ヒトビトの影響を受ける人にとっては希望の光があります。このランサムウェアは解読可能です。復号化パスワードまたはキーは、「Password123」(引用符なし) です。

ただし、hitobito は現時点では復号化可能ですが、このマルウェアの将来の反復では異なる回復キーが使用される可能性があります。ランサムウェアは通常、堅牢な暗号化アルゴリズムと固有のキーを使用するため、攻撃者の関与なしに復号化することはまれです。

さらに、身代金の要求を満たした後でも、被害者は約束された回復キーやソフトウェアを必ずしも受け取れるとは限りません。これは、ファイルの復号化を保証できないだけでなく、犯罪行為を支援することになるため、身代金の支払いに関連するリスクを強調しています。

hitobito のようなランサムウェアによるさらなるデータの暗号化を防ぐには、オペレーティング システムからマルウェアを削除することが不可欠です。ただし、ランサムウェアを削除しても、すでに侵害されているファイルは復元されないことを理解することが重要です。

ランサムウェアの脅威からデータとデバイスをより適切に保護するためのセキュリティ対策

ランサムウェアの脅威からデータとデバイスをより適切に保護するには、多層セキュリティ アプローチの実装が不可欠です。主なセキュリティ対策は次のとおりです。

• 一貫したソフトウェア更新とパッチ管理: すべてのオペレーティング システム、ソフトウェア アプリケーション、セキュリティ プログラムが最新のセキュリティ パッチで体系的に更新されるようにします。脆弱性のある古いソフトウェアは、ランサムウェア攻撃者によって悪用される可能性があります。
• マルウェア対策ソフトウェアの使用: 信頼できるマルウェア対策ソフトウェアをすべてのデバイスにインストールし、常に最新の状態に保ちます。これらのアプリケーションは、被害を引き起こす前にランサムウェア感染を検出して防止するのに役立ちます。

• ファイアウォール保護: すべてのデバイスとネットワークでファイアウォールを有効にして、受信トラフィックと送信トラフィックを監視および制御します。ファイアウォールは、ランサムウェアがデバイスにアクセスしたり、ネットワーク全体に拡散したりするのをブロックするのに役立ちます。

• 従業員のトレーニングと意識向上: ランサムウェアのリスクについて従業員を教育し、不審な電子メール、リンク、添付ファイルを特定する方法を教えます。定期的なセキュリティ意識向上トレーニングを実施して、安全なコンピューティングの実践を促進します。

• アクセス制御と最小権限: ユーザーの権限とアクセス権を、その役割に必要な権限のみに制限します。最小特権の原則を強化し、機密データや重要なシステムへのアクセスを制限することで、ランサムウェア攻撃の影響を最小限に抑えます。

• データのバックアップ: データをオフラインまたはクラウドベースのバックアップ ソリューションに定期的にバックアップします。バックアップが暗号化され、定期的に信頼性がテストされ、安全に保管されていることを確認してください。

• ネットワークのセグメンテーション: ネットワークをセグメント化して、重要なシステムとプライベート データをネットワークの他の部分から分離します。これは、ランサムウェアの拡散を阻止し、感染による被害を制限するのに役立ちます。

これらのセキュリティ対策を実装することで、組織はランサムウェアの脅威からデータとデバイスをより適切に保護し、これらの有害な攻撃の犠牲になるリスクを軽減できます。

ヒトビト ランサムウェアの被害者に届けられた身代金要求には次のように書かれています。

'Ooops, your files have been encrypted by Kage No Hitobito Group!

All your important files and documents have been encrypted by us.

Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.

Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.

Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'