Sage RansomewareがLeague of Legends、steamappsなどをブラックリストに登録するのはなぜですか?
私は最近読んでいました Sage RansomwareのMalwarebytes Labs脅威分析 。明らかに、システムディレクトリに加えて、League of Legendsのようなゲームへのパスと、steamappsへのパスが攻撃から除外されていることを学ぶのは興味深いことです。この記事では、なぜこれが当てはまるのかについては推測していません。マルウェアの作成者がこれを行ったすぐに明らかな理由はありますか?それとも私はそれを考えすぎていますか?それは、ターゲットの人口統計、攻撃ベクトル、および/または配信方法を示していますか?これが行われた理由について私が考えることができる唯一の潜在的に明白な理由は、気を取られているゲーマーを妨げないようにして、プロセスを許可することですユーザーが気づかない可能性が低いバックグラウンドで実行し続ける。しかし、それは説明が単純すぎるように感じます。システム上のゲームやタスクに夢中になっていなくても、平均的なコンピューターユーザーが感染の兆候を認識しないことを私は思います。ランサムウェアの大多数の場合と同様に、ターゲットの人口統計は通常、感染の兆候に気づく可能性が高いパワーユーザーよりもデータをバックアップする可能性が低いカジュアルユーザーです。可能性はさらに低くなります。多くのゲームのほとんどのデータはローカルに保存されておらず(Steamのようにローカルに保存されているデータの大部分はクラウドにもバックアップされている)、ライセンスキーはデジタル配信プラットフォームで管理されることが多いので、なぜこれらのファイルを暗号化してもほとんど意味がないのです。*それでも、これらのファイルを暗号化すると、被害者が経験する侵入/脆弱性/損失の感覚にさらに寄与することを思いつきます。ソーシャルエンジニアリング/心理的な観点から、これは犠牲者が身代金を支払う可能性を高めるでしょう。クリエイターにクレジットを与えすぎているのでしょうか?このような動きは非常に慎重なことのように思われ、それが私を動機として非常に好奇心をそそります。
セージコーダーのプログラミングの決定に対する実際の動機を決定または確認しようとすることは、事実よりも意見と推測の問題であることを認識して、私の質問は推測で遭遇した2つの質問に要約されます。
- 通常、どのバージョンのウィンドウがターゲットになっていますか?多種多様なWindows OSをターゲットにした WannaCryの広がり方 に似ていますか?それとも、商用OS(Windows Server 2000、2008など)ではなく、ホームユーザーOS(XP、Vista、7など)に重点を置いていましたか?
- セージは何に拡散/ドロップされましたか?記事で述べているように、「ほとんどの場合、Sageはフィッシングメールを介して配布されるダウンローダースクリプトによって落とされます。」ただし、この記事では、ドロップされたフォームの1つがスタンドアロンのJavaScriptファイルであると述べているため、これにより多くの潜在的な攻撃経路が開かれます。セージが使用した他の攻撃ベクトルがある場合、それを誰かが知っているかどうか知りたいです。
*主に、League of Legendsのような、ユーザーのプロファイル情報がオンラインで保存されるオンライン専用ゲームについて話します。ただし、Sageは、steamappsパス全体を除外します。このパスには、ローカルのみ/シングルプレイヤーゲームのセーブ情報が保存されます。
更新:明確にするために、価値の低い簡単に置き換え可能なファイルを暗号化しないようにするのが理にかなっている理由を理解しています。しかし、私が興味深いと思うのは、これを達成するためにコーダーが使用する方法論です。おそらく、さまざまなユースケースで価値の低いデータとファイルが格納される少なくとも100のディレクトリを指定するブラックリストを生成できます。ただし、コーダーは非常に特定のファイルパスのみを暗号化から除外しました。最も価値の高いデータをできるだけ早く暗号化することが目標であり、最も価値のあるデータが最も一般的に格納されているファイルパスを暗号化の対象とすることは、意味がありませんか?これにより、暗号化されるファイルの範囲が狭くなり、ユーザーに身代金を支払う動機を与えるのに十分な価値のある何かをキャッチする可能性が高くなります。
これらのゲームはかなり大きいと思います(GTA Vは数十ギガバイトです)。そのため、これらを暗号化するにはかなりの時間がかかり、検出される可能性が高くなります。多くの場合、これらのゲームは、暗号化プロセスに含まれる可能性のある別のディレクトリにプロファイルを保存します。ゲームは再インストールできますが、プロファイルを復元できない可能性があります。
Steamでファイルをクリックするだけで回復できるファイルを暗号化しても意味がないからです。特に、暗号化プロセスでビジーになるもの。
検出された攻撃が中断されるという前提から始めます。この時点で、ファイルは暗号化されなくなります。これについての別の考え方は、ランサムウェアは平均して有限の時間実行されるということです。 15分としましょう。 (一部の人はそれを検出して1分未満で停止しますが、他の人はそれを数時間実行して完了するまで放置します。)さらに、攻撃がファイルの暗号化に時間がかかると想定します。画像ファイルごとに平均で1秒。
攻撃者は、被害者が彼らと交渉することをいとわないほど強い苦痛を与えた場合にのみ、お金を稼ぎます。この痛みをどのように測定しますか?彼らが暗号化したものが被害者にとって最も価値があった場合。誰かが自分のディスクに1000個の画像ファイルを持っているとしましょう。そのうち10個は亡くなった愛する人のかけがえのない写真で、感傷的な価値があります。暗号化機能がすべての10をヒットした場合、被害者は間違いなくそれらを回復するために支払います。暗号化機能がそのうちの1つだけをヒットした場合、被害者は動揺しますが、おそらく支払いません。暗号化機能が10のうちの5つにヒットした場合、被害者は支払うか、支払わない可能性があります。これはパーセンテージで表すことができます。1つのファイルが支払われる確率は10%で、10個のファイルは100%の確率です。*
暗号化機能はファイルシステムを通過し、さまざまな画像およびドキュメントファイルを列挙しますが、被害者が気にかけている10の重要なファイルがどれであるかはわかりません。攻撃の目的では、すべての画像ファイルが等しいため、10の感傷的なファイルすべてを暗号化する可能性を向上させるものは、身代金を支払われる可能性を向上させます。 15分のウィンドウで、約900のファイルが暗号化されます。
ゲームには、アートワーク、カットシーン、およびその他のものを含む画像および動画ファイルがある場合があります。被害者が1000個の画像ファイルを含むゲームを持っているとしましょう。ただし、ゲームファイルは簡単に交換できます。Steamで[インストール]をクリックすると、元に戻ります。それらのファイルに対して身代金を支払う人はいません。
したがって、ゲームファイルを除外することで、攻撃者は90%の確率で支払いを受けることができます。ゲームファイルを除外しない場合、攻撃者は45%の確率で支払いを受けることができます。
それは単なる数学です。
*誰もが絶対的な10%や100%などとは限りません。考えられるのは、犠牲を払う可能性が高い被害者の一定の割合があり、それが最終的な分析に反映されているということです。それは確かに正確な90%や45%ではありませんが、一部の人々は他の人々よりもはるかに支払いを奨励されます。
これら2つのシステムはどちらもファイルの検証を実行します。プログラムが機能しなくなった場合は、ユーザーとして、ファイルの修復を実行してプログラムを修正しようとします。
その後、システムがランサムウェアで暗号化されていることがわかります。あなたは罰金を支払い、彼らはあなたに復号鍵を与え、あなたは復号ソフトウェアを実行します...
10分後、あなたはIRCのサポートチャンネルにいます。 「エラーメッセージ「ファイルC:\ Steam\User\DewiMorgan\PlantsVsZombies\data.datのチェックサムエラーが発生しました。復号化に失敗しました。どうすれば修正できますか?」
サービスプロバイダーは、復号化エラーを最小限に抑え、サポートの問題を最小限に抑えたいと考えています。したがって、ほとんどのサポート問題を引き起こすこれらのフォルダーの暗号化を避けます。
一般的に、暗号化は低コストです。攻撃者はデフォルトで暗号化する必要があります。ホワイトリストは、最も価値のあるデータが格納されているフォルダーを常にキャッチするわけではありません。個々のユーザーが何を価値があると考えているかもわかりません。
しかし、明確にいくつかのフォルダがあります:
- 暗号化後に上書きされ、復号化エラーが発生するリスクが高い。
- 暗号化までの時間が長く、Good Stuffに到達する前に捕捉されるリスクがあります。
- 紛失しても交換の手間がかからないため、価値がありません。暗号化は無駄です。
したがって、ホワイトリストは攻撃の総称性を損なうことになりますが、ブラックリストは特定の問題を防御するため価値があります。