近年のランサムウェア攻撃の巧妙化は、ユーザーや組織がデバイスをマルウェアから保護することがいかに重要かを浮き彫りにしています。一度侵入に成功すると、業務の中断、金銭的損失、評判の失墜、機密情報の漏洩につながる可能性があります。現在、研究者によって分析されている特に危険なランサムウェアの一つがNdm448ランサムウェアです。これは、ファイル暗号化とデータ窃取および恐喝の戦術を組み合わせた、非常に破壊的な脅威です。
Ndm448ランサムウェア:高度な恐喝戦術を備えたMakopファミリーの亜種
Ndm448ランサムウェアは、よく知られているMakopランサムウェアファミリーの亜種として特定されています。他のMakopベースの脅威と同様に、Ndm448は侵害されたシステムに侵入し、貴重なデータを暗号化し、被害者に復元のための身代金を支払わせるように設計されています。
マルウェアは実行されると、一連の協調動作を実行します。システム全体のファイルを暗号化し、ファイル名を変更し、「+README-WARNING+.txt」という身代金要求メッセージを作成し、デスクトップの壁紙を変更することで、被害者が攻撃を即座に認識できるようにします。この暗号化プロセスにより、攻撃者が保有する対応する復号鍵がなければファイルにアクセスできなくなります。
ファイル名変更パターンと暗号化動作
Ndm448の特徴は、独特のファイル名変更規則です。ファイルを暗号化した後、各ファイル名に以下の3つの要素を追加します。
- 被害者の固有ID
- 攻撃者が管理するメールアドレス
- .ndm448拡張子
たとえば、元々「1.png」という名前だったファイルは「1.png.[2AF20FA3].[thomasandersen70@onionmail.org].ndm448」に名前が変更され、「2.pdf」は「2.pdf.[2AF20FA3].[thomasandersen70@onionmail.org].ndm448」になります。
この構造化された名前変更システムにより、攻撃者は暗号化されたデータを明確に識別しながら、被害者を個別に識別することができます。また、専用の拡張子を追加することで、標準的なアプリケーションによるファイルの認識や開封を防止します。
身代金要求書と二重恐喝戦略
身代金要求書には詳細な指示が記載されており、心理的なプレッシャーがエスカレートします。被害者は、ファイルが暗号化され、機密データが盗まれたことを知らされます。攻撃者は、被害者が協力しない場合、盗まれた情報は削除、売却、または公開されると脅迫します。
連絡はメールアドレスthomasandersen70@onionmail.orgまたはqToxメッセンジャーを通じて行われます。注意書きでは、アクセスを回復する唯一の方法は、専用の復号ツールを購入することであると強調されています。被害者は、システムの再起動、暗号化されたファイルの修正、サードパーティ製の復旧ソリューションの使用を控えるよう警告されており、これらの行為はデータに永久的な損傷を与える可能性があるとしています。
厳しい期限が課せられます。数日以内に合意に至らない場合は、攻撃者は復号鍵を破壊し、盗んだ情報を漏洩させると脅迫します。身代金は復旧とデータ消去の保証として提示されますが、攻撃者が必ずこの主張を守るとは限りません。多くのランサムウェア運営者は、身代金を支払った後でも、実際に機能する復号ツールを提供しません。
感染ベクターと拡散方法
Ndm448は、人為的ミスやシステムの脆弱性を悪用するように設計された複数の配信メカニズムを通じて拡散します。多くの場合、ユーザーが正規のファイルに偽装された悪意のあるコンテンツを知らずに実行することでシステムに侵入します。こうした悪意のあるコンテンツには、感染した実行ファイル、スクリプト、圧縮アーカイブ、Word、Excel、PDFなどのドキュメントファイルなどが含まれます。
一般的な流通チャネルは次のとおりです。
- 悪意のある添付ファイルやリンクを含む詐欺メールキャンペーン
- 海賊版ソフトウェア、キージェネレータ、クラッキングツール
- ソフトウェアの脆弱性と古いアプリケーションの悪用
- 侵害されたUSBドライブとピアツーピアネットワーク
- 偽のテクニカルサポート詐欺と欺瞞的な広告
- トロイの木馬化されたダウンロードを配布する乗っ取られたまたは偽造されたウェブサイト
これらの多様なエントリ ポイントにより、Ndm448 のようなランサムウェアは適応性が高く、環境内でアクティブになると封じ込めるのが困難になります。
支払いと持続感染のリスク
ランサムウェア攻撃は、業務を即座に麻痺させます。完全なバックアップがなければ、復旧の選択肢は著しく限られます。しかし、身代金を支払うことは絶対にお勧めしません。攻撃者は、機能する復号ツールを提供しない可能性があり、追加の支払いを要求したり、盗んだデータを漏洩させたりする可能性もあります。
ランサムウェアを直ちに削除することが不可欠です。ランサムウェアがアクティブなまま放置されると、新たに作成されたファイルの暗号化を継続し、ローカルネットワークを介して横方向への拡散を試み、被害規模を拡大させる可能性があります。
防御の強化:必須のセキュリティベストプラクティス
Ndm448のような脅威を軽減するには、階層化され、規律あるセキュリティ戦略が必要です。ユーザーと組織は、以下のコアプラクティスを実装して、リスクを大幅に低減する必要があります。
- プライマリ システムから分離されたオフラインまたはクラウドベースのバックアップを定期的に維持します。
- 既知の脆弱性を修正するために、オペレーティング システムとソフトウェアを完全に最新の状態に保ってください。
- ランサムウェア検出機能を備えた、信頼できるリアルタイム セキュリティ ソリューションを使用します。
- 海賊版ソフトウェアや非公式のアクティベーション ツールのダウンロードは避けてください。
- 電子メールの添付ファイル、リンク、迷惑な通信には注意してください。
- 管理者権限を制限し、最小権限の原則を適用します。
- 絶対に必要な場合を除き、ドキュメント内のマクロを無効にします。
- 侵害が発生した場合に横方向の移動を制限するためにネットワークをセグメント化します。
これらの対策に加え、継続的なサイバーセキュリティ意識向上トレーニングは、人為的な攻撃経路の削減に重要な役割を果たします。従業員と個々のユーザーは、フィッシング攻撃、不審なダウンロード、ソーシャルエンジニアリングの手口を見抜くための教育を受ける必要があります。
結論
Ndm448ランサムウェアは、現代のランサムウェアがデータを暗号化すると同時に、窃取した情報を用いてさらなる圧力をかける二重の脅迫型脅威へと進化したことを象徴するものです。Makopファミリーの一員であるNdm448は、強力な暗号化技術と、支払いを強要するための攻撃的な心理戦術を組み合わせています。
堅牢な予防的セキュリティ対策、一貫したバックアップ、そしてプロアクティブな脅威検知は、依然として最も効果的な防御策です。ランサムウェア攻撃の規模と巧妙さが拡大し続ける環境において、壊滅的なデータ損失と経済的損害を防ぐには、万全の準備と警戒が不可欠です。
System Messages
The following system messages may be associated with Ndm448 ランサムウェア:
Dear Management,
If you are reading this message, it means that:
- your network infrastructure has been compromised,
- critical data was leaked,
- files are encrypted
----------------------------------------------------
The best and only thing you can do is to contact us
to settle the matter before any losses occurs.
Mail : thomasandersen70@onionmail.org
If you do not receive a response within 12 hours, your letter may not have arrived, in this case we provide an alternative contact
Chat qtox : hxxps://qtox.github.io/
Our chat ID : 40E320AC41C066E58264ABF8A6B47A93F69DE2BE30FF94AE701EE15ED856FF5BB76A6B2068A4
----------------------------------------------------
1. THE FOLLOWING IS STRICTLY FORBIDDEN
1.1 EDITING FILES ON HDD.
Renaming, copying or moving any files
could DAMAGE the cipher and
decryption will be impossible.
1.2 USING THIRD-PARTY SOFTWARE.
Trying to recover with any software
can also break the cipher and
file recovery will become a problem.
1.3 SHUTDOWN OR RESTART THE PC.
Boot and recovery errors can also damage the cipher.
Sorry about that, but doing so is entirely at your own risk.
----------------------------------------------------
2. EXPLANATION OF THE SITUATION
2.1 HOW DID THIS HAPPEN
The security of your IT perimeter has been compromised (it's not perfect at all).
We encrypted your workstations and servers to make the fact of the intrusion visible and to prevent you from hiding critical data leaks.
We spent a lot of time researching and finding out the most important directories of your business, your weak points.
We have already downloaded a huge amount of critical data and analyzed it. Now its fate is up to you, it will either be deleted or sold, or shared with the media.
2.2 VALUABLE DATA WE USUALLY STEAL:
- Databases, legal documents, personal information.
- Audit reports.
- Audit SQL database
- Any financial documents (Statements, invoices, accounting, transfers etc.).
- Work files and corporate correspondence.
- Any backups.
- Confidential documents.
2.3 TO DO LIST (best practies)
- Contact us as soon as possible.
- Contact us only in our live chat, otherwise you can run into scammers.
- Purchase our decryption tool and decrypt your files. There is no other way to do this.
- Realize that dealing with us is the shortest way to success and secrecy.
- Give up the idea of using decryption help programs, otherwise you will destroy the system permanently.
- Avoid any third-party negotiators and recovery groups. They can become the source of leaks.
----------------------------------------------------
3. POSSIBLE DECISIONS
3.1 NOT MAKING THE DEAL
- After 4 days starting tomorrow your leaked data will be Disclosed or sold.
- We will also send the data to all interested supervisory organizations and the media.
- Decryption key will be deleted permanently and recovery will be impossible.
- Losses from the situation can be measured based on your annual budget.
3.2 MAKING THE WIN-WIN DEAL
- You will get the only working Decryption Tool and the how-to-use Manual.
- You will get our guarantees (with log provided) of non-recovarable deletion of all your leaked data.
- You will get our guarantees of secrecy and removal of all traces related to the deal in the Internet.
- You will get our security report on how to fix your security breaches.
----------------------------------------------------
4. Your Information and Keys
4.1 All leaked Data samples will be Disclosed in 7 Days if you remain silent.
4.2 Your Decryption keys will be permanently destroyed at the moment the leaked Data is Disclosed.
----------------------------------------------------
6. RESPONSIBILITY
6.1 Breaking critical points of this offer will cause:
- Deletion of your decryption keys.
- Immediate sale or complete Disclosure of your leaked data.
- Notification of government supervision agencies, your competitors and clients.
|
