ラテンアメリカの主要組織を侵害した、これまで知られていなかった「ARCrypter」ランサムウェアが、現在、その攻撃を世界中に拡大しています。

新しいランサムウェア ファミリーの背後にいる攻撃者は、昨年 8 月にチリの政府機関を攻撃し、 Linux と Windows の両方のシステムを標的にして、暗号化されたファイルに「.crypt」拡張子を追加しました。

当時、チリの脅威アナリスト、Germán Fernández 氏は、この株はまったく新しいものであり、既知のランサムウェア ファミリとは関係がないと述べていました。

BlackBerry の研究者は、このファミリーが ARCrypter であることを特定し、10 月にコロンビア国立食品医薬品監視研究所 (Invima) に対する2 回目の攻撃に関連していることを示すレポートを介して、これを確認しました。

BlackBerry はまた、ARCrypter が現在ラテンアメリカ以外にも事業を拡大しており、中国やカナダを含む世界中のさまざまな組織を標的にしていると警告しています。

はこの拡大を確認し、ドイツ、米国、フランスでも ARCrypter の被害者を確認しました。

身代金の要求はさまざまで、場合によっては 5,000 ドルまで下がることもあるため、ARCrypter は中間層のランサムウェア アクターとして動作します。

ARクリプターの詳細

BlackBerry によると、ARCrypter の最初のサンプルは、チリ攻撃の数週間前の 2022 年 8 月初旬に出現しました。

攻撃ベクトルは不明のままですが、アナリストは、「win.exe」を含む「win.zip」アーカイブを取得するためのリモート リソースとして使用される 2 つの AnonFiles URL を見つけることができました。

実行可能ファイルは、リソース BIN と HTML を含むドロッパー ファイルです。 HTML には身代金メモのデータが含まれていますが、BIN にはパスワードを必要とする暗号化されたデータが含まれています。

暗号化前に生成された身代金メモ
暗号化の前に生成された身代金メモ()

パスワードが提供されると、BIN は侵害されたマシン上にランダムなディレクトリを作成し、ランダムな英数字を使用して名前が付けられた第 2 段階のペイロードを保存します。

「BIN リソースの復号化に使用された正しい復号化キーを特定することはできませんでしたが、2 番目のペイロードは ARCrypter ランサムウェアであると確信しています」と BlackBerry はレポートで述べています。

新しく作成されたフォルダにドロップされたランダムな名前のペイロード
新しく作成されたフォルダー(BlackBerry)にドロップされたランダムな名前のペイロード

次に、ARCrypter ペイロードは、次のレジストリ キーを追加して永続性を作成します。

「HKLMSoftwareMicrosoftWindowsCurrentVersionRunSecurityUpdate」

次に、マルウェアはすべてのシャドウ ボリューム コピーを削除してデータを簡単に復元できないようにし、ネットワーク設定を変更して安定した接続を確保し、以下に示すタイプを除くすべてのファイルを暗号化します。

暗号化から除外されるファイルの種類(BlackBerry)

「Boot」フォルダや「Windows」フォルダなどの重要な場所にあるファイルもスキップされ、システムが完全に使用できなくなることを回避します。

「.crypt」拡張子とは別に、暗号化されたファイルは、次のレジストリ キーへの変更により、ファイル マネージャーに「ALL YOUR FILES HAS BEEN ENCRYPTED」というメッセージが表示されます。

HKCUControl PanelInternationalsShortDate HKLMSYSTEMControlSet001ControlCommonGlobUserSettingsControl PanelInternationalsShortDate
ARCrypter (BlackBerry)で暗号化されたファイル

攻撃者は攻撃中にデータを盗むと主張していますが、ランサムウェアの操作には現在、無給の被害者のためにデータを公開するために使用するデータ漏洩サイトはありません.

現時点では、ARCrypter のオペレーター、起源、言語、および他のランサムウェア ギャングとの潜在的なつながりについてはほとんど知られていません。