当社では最近ランサムウェアファミリーの隆盛に目を光らせている。CryptoWall、CTB-Locker、Synolockerについてのこれまでの記事にあるように、悪い奴らがこの種のマルウェアファミリーを絶えず開発中であることは歴然としている。これらのファミリーに加えて、ややシンプルなタイプのランサムウェアBrowlockも観察している。ただし、Browlockはかなり活動的で、最初に遭遇した2013年から非常に活発である。
他のランサムウェアファミリーと対照的に、Browlockは被害者のファイルを暗号化しないし、被害者のマシン上にファイルを追加したり起動したりしない。Browlockはブラウザを「ロック」して、警察や当局からだと主張して警告を表示する。そこには児童ポルノのWebサイトの閲覧、あるいは海賊版のソフトウェアのダウンロードという犯罪をその被害者が犯した、と述べられている。ユーザがブラウザを閉じるのは妨げられるが、たとえばタスク マネージャーを通じてブラウザのプロセスを終了すると、問題は解決する。
以下は当社のテレメトリーのBrowlockの攻撃から取得した6月以降の統計情報だ。
当社の統計によると、標的となった被害者は、アダルトサイトを訪れているユーザだった。半数以上がアダルト関連のWebサイトに行った後、Browlockのページにリダイレクトされた。他には広告ネットワークを通じて、リダイレクトされた。当社のデータにて突出しているアダルトサイトは認知していないが、広告ネットワークの割合では、おおよそ60%がtrafficbroker.com単独からのものだった。
Browlockのランディングページは、その時々で異なるIPやURLを持つ。これについてさらに観察したものが、malekalのWebサイトで確認できる。URLはランダムに見えるが、目立ったパターンがある。以下はサンプルの一部だ。
• http:// alert. policecoin. info/ FI/cls.php
• http:// alert. porschepolice. net/ FI/cls.php
• http:// alert. xraypolice. com/ FI/cls.php
• http:// alert-police. barbrastreisandagent. com/
• http:// alert-police. estateagentsolutions. net/
• http:// attention.starpolice. biz/FI/cls.php
• http:// attention.starpolice. co/FI/cls.php
• http:// police. grantscards. com/
• http:// police. redunderground. com/
• http:// security-scan-nuqbqakx. in/
• http:// security-scan-jdytiujg. in/
• http:// system-check-abevbrye. in/
• http:// system-check-ipxmjdry. in/
• http:// security-akechksv-check. in/
• http:// security-zxqkcohl-chk. in/
• http:// law-enforcement-tqvrlbqb. in/
• http:// law-enforcement-icgkjyrr. in/
6月から、当社のアップストリーム内でもっとも多く報告が上がった以下のURLの監視をした。ホスト先の対応するIPアドレスも掲載する。
以下のグラフは、該当するURLのパターンが、当社のアップストリーム内で活発に報告された時期を示している。Browlockは平均して約2週間から1ヶ月の間、ランディングページのURLのパターン1つを維持できるようだ。
また当社では、米国、イギリス、欧州各国がもっとも影響を受けていることにも気付いた。
この非常にシンプルなメカニズムで、悪い奴らが実際に金を得ているのかを疑問に思い、しばらくの間このオペレーションの進行を見てきた。ひどのくらいの数の被害者が偽の警告メッセージに応じて身代金を支払ってしまったのか、確かなことは分かっていない。ただ我々が確信しているのは、このランサムウェアファミリーが活動的なのが見られる間、当社の顧客をこの脅威から保護し続けるために油断せずに見守ることだ。
他のランサムウェアファミリーと対照的に、Browlockは被害者のファイルを暗号化しないし、被害者のマシン上にファイルを追加したり起動したりしない。Browlockはブラウザを「ロック」して、警察や当局からだと主張して警告を表示する。そこには児童ポルノのWebサイトの閲覧、あるいは海賊版のソフトウェアのダウンロードという犯罪をその被害者が犯した、と述べられている。ユーザがブラウザを閉じるのは妨げられるが、たとえばタスク マネージャーを通じてブラウザのプロセスを終了すると、問題は解決する。
以下は当社のテレメトリーのBrowlockの攻撃から取得した6月以降の統計情報だ。
当社の統計によると、標的となった被害者は、アダルトサイトを訪れているユーザだった。半数以上がアダルト関連のWebサイトに行った後、Browlockのページにリダイレクトされた。他には広告ネットワークを通じて、リダイレクトされた。当社のデータにて突出しているアダルトサイトは認知していないが、広告ネットワークの割合では、おおよそ60%がtrafficbroker.com単独からのものだった。
Browlockのランディングページは、その時々で異なるIPやURLを持つ。これについてさらに観察したものが、malekalのWebサイトで確認できる。URLはランダムに見えるが、目立ったパターンがある。以下はサンプルの一部だ。
• http:// alert. policecoin. info/ FI/cls.php
• http:// alert. porschepolice. net/ FI/cls.php
• http:// alert. xraypolice. com/ FI/cls.php
• http:// alert-police. barbrastreisandagent. com/
• http:// alert-police. estateagentsolutions. net/
• http:// attention.starpolice. biz/FI/cls.php
• http:// attention.starpolice. co/FI/cls.php
• http:// police. grantscards. com/
• http:// police. redunderground. com/
• http:// security-scan-nuqbqakx. in/
• http:// security-scan-jdytiujg. in/
• http:// system-check-abevbrye. in/
• http:// system-check-ipxmjdry. in/
• http:// security-akechksv-check. in/
• http:// security-zxqkcohl-chk. in/
• http:// law-enforcement-tqvrlbqb. in/
• http:// law-enforcement-icgkjyrr. in/
6月から、当社のアップストリーム内でもっとも多く報告が上がった以下のURLの監視をした。ホスト先の対応するIPアドレスも掲載する。
以下のグラフは、該当するURLのパターンが、当社のアップストリーム内で活発に報告された時期を示している。Browlockは平均して約2週間から1ヶ月の間、ランディングページのURLのパターン1つを維持できるようだ。
また当社では、米国、イギリス、欧州各国がもっとも影響を受けていることにも気付いた。
この非常にシンプルなメカニズムで、悪い奴らが実際に金を得ているのかを疑問に思い、しばらくの間このオペレーションの進行を見てきた。ひどのくらいの数の被害者が偽の警告メッセージに応じて身代金を支払ってしまったのか、確かなことは分かっていない。ただ我々が確信しているのは、このランサムウェアファミリーが活動的なのが見られる間、当社の顧客をこの脅威から保護し続けるために油断せずに見守ることだ。
