Tag Archives: Trojan.Cryptolocker

Browlock ランサムウェア（Trojan.Ransomlock.AG）は、現在出回っているランサムウェアの中でもおそらく最も単純な亜種でしょう。Ransomlock.AE のように別の悪用コンポーネントをダウンロードするわけでもなく、Trojan.Cryptolocker のようにコンピュータ上のファイルを暗号化するわけでもありません。侵入先のコンピュータ上でプログラムとして実行されることすらありません。このランサムウェアは昔ながらの単純な Web ページにすぎず、ブラウザのタブを閉じられなくする JavaScript が仕掛けられているだけです。ユーザーが住んでいる国または地域を判定したうえで、違法なアダルトサイトにアクセスしたと説明し、地元の警察当局に罰金を支払うよう要求するという典型的な脅迫を実行します。

図 1. 違法なアダルトノサイトにアクセスしたとして罰金を要求する Browlock ランサムウェア

驚かされるのは、Browlock の Web サイトにリダイレクトされたユーザーの数です。11 月に、シマンテックは Browlock の Web サイトへの接続を 65 万件以上も遮断しましたが、同じ傾向は 12 月も続いています。22 万件を超える接続が、12 月に入ってからわずか 11 日間で遮断されているのです。追跡を開始した 9 月からの合計では、約 180 万件の接続が遮断されていることになります。

悪用ツールキットやトラフィックリダイレクトシステムをよく知っている方には、こうした数字もとりたてて大きくは見えないかもしれませんが、これはシマンテック製品のユーザーに限った数字です。11 月に検出された 65 万という接続数はごく一部にすぎず、実際の数字はもっと大きい可能性があります。

図 2. 2013 年 11 月と 12 月における Browlock ランサムウェアの活動状況

上に示した数字は、1 日あたりに検出された活動の総数です。攻撃は断続的に発生しており、特に際立っているのは 11 月 3 日と 11 月 16 日です。11 月 16 日には、13 万以上のコンピュータが Browlock の Web サイトへのリダイレクトを遮断されています。

攻撃手法

Browlock を使う攻撃者は、さまざまなアクセスを悪質な Web サイトにリダイレクトするトラフィックを購入している節があります。ここで使われているのがマルバタイジング（悪質な広告）です。マルバタイジングは、正規のネットワークからの広告購入を伴うアプローチとして広がりつつあります。広告先はアダルトサイトと思しきページで、そこから Browlock の Web サイトにリダイレクトされます。

Browlock の攻撃者が購入するトラフィックのソースは何種類かありますが、中心となるのはアダルト広告ネットワークです。Malekal や Dynamoo など、複数のセキュリティ研究者が過去数カ月にわたってこの活動を追跡しています。

最近の例では、攻撃者は広告ネットワークで複数種類のアカウントを作成し、支払い金を預けてから、オンラインチャットフォーラムに類似した名前の Web サイトにユーザーをリダイレクトするトラフィックを購入し始めていました。ユーザーがこのページにアクセスすると、Browlock のサイトにリダイレクトされます。実際、攻撃者はランサムウェアサイト自体と同じインフラに、正規のように見えるドメイン名をホストしています。

Browlock のインフラ

被害者が Browlock の Web サイトにリダイレクトされる際に、被害者と、その被害者の国や地域の法執行機関ごとに固有の URL が生成されます。たとえば、米国からアクセスしたユーザーは次のような URL に誘導されます。

fbi.gov.id693505003-4810598945.a5695.com

この URL には特徴的な要素が 2 つあります。fbi.gov という値と、実際のドメインである a5695.com です。fbi.gov という値は、明らかに米国の法執行機関を表しています。シマンテックは、およそ 25 の地域における 29 種類の法執行機関を表す値を特定しました。次のグラフは、特定された法執行機関のうち上位 10 位までについて接続の比率を示したものです。米国からのトラフィックが最も多く、ドイツ、ユーロポール（欧州警察組織）がそれに続いています。ユーロポールは、特定のイメージテンプレートが作成されていないときの欧州各国が対象です。

図 3. Browlock の標的となった上位 10 の機関

次に問題となる値はドメインです。追跡を開始して以来、196 のドメインが確認されています。ドメインはいずれも、アルファベット 1 文字に 4 桁の数字が続き、.com で終わるという形式です。実際のドメインは、過去 4 カ月にわたって何種類もの IP アドレスでホストされています。

最も活動的な自律システム（AS）は AS48031 – PE Ivanov Vitaliy Sergeevich で、これは過去 4 カ月のどの月にも使われていました。攻撃者は、この AS で 7 種類の IP アドレスを順に使っています。

まとめ

Browlock ランサムウェアの戦術は、単純ですが効果的です。攻撃者は、悪質な実行可能ファイルを使わず、また悪用ツールキットにもアクセスしないことで予算を節約しています。被害者はブラウザを閉じさえすれば Web ページから逃れることができるので、誰も支払いなどしないとも考えられます。しかし、Browlock の攻撃者がお金を払ってトラフィックを購入しているのは明らかである以上、その投資を回収していることは確実です。アダルトサイトのユーザーを狙って、被害者の困惑につけ込むという通常のランサムウェアの手口も依然として続いており、それも成功率に貢献していると思われます。

シマンテックは、IPS とウイルス対策のシグネチャでお客様を Browlock から保護しています。

利用されている悪質なインフラ

AS24940 HETZNER-AS Hetzner Online AG

• IP アドレス: 144.76.136.174、リダイレクトされたユーザーの数: 2,387

 AS48031 – PE Ivanov Vitaliy Sergeevich

• IP アドレス: 176.103.48.11、リダイレクトされたユーザーの数: 37,521
• IP アドレス: 193.169.86.15、リダイレクトされたユーザーの数: 346
• IP アドレス: 193.169.86.247、リダイレクトされたユーザーの数: 662,712
• IP アドレス: 193.169.86.250、リダイレクトされたユーザーの数: 475,914
• IP アドレス: 193.169.87.14、リダイレクトされたユーザーの数: 164,587
• IP アドレス: 193.169.87.15、リダイレクトされたユーザーの数: 3,945
• IP アドレス: 193.169.87.247、リダイレクトされたユーザーの数: 132,398

AS3255 – UARNET

• IP アドレス: 194.44.49.150、リダイレクトされたユーザーの数: 28,533
• IP アドレス: 194.44.49.152、リダイレクトされたユーザーの数: 134,206

AS59577 SIGMA-AS Sigma ltd

• IP アドレス: 195.20.141.61、リダイレクトされたユーザーの数: 22,960

Nigeria Ifaki Federal University Oye-ekiti

• IP アドレス: 196.47.100.2、リダイレクトされたユーザーの数: 47,527

AS44050 – Petersburg Internet Network LLC

• IP アドレス: 91.220.131.106、リダイレクトされたユーザーの数: 81,343
• IP アドレス: 91.220.131.108、リダイレクトされたユーザーの数: 75,381
• IP アドレス: 91.220.131.56、リダイレクトされたユーザーの数: 293

AS31266 INSTOLL-AS Instoll ltd.

• IP アドレス: 91.239.238.21、リダイレクトされたユーザーの数: 8,063

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Browlock ransomware (Trojan.Ransomlock.AG) is probably the simplest version of ransomware that is currently active. It does not download child abuse material, such as Ransomlock.AE, or encrypt files on your computer, like Trojan.Cryptolocker. It does not even run as a program on the compromised computer. This ransomware is instead a plain old Web page, with JavaScript tricks that prevent users from closing a browser tab. It determines the user’s local country and makes the usual threats, claiming that the user has broken the law by accessing pornography websites and demands that they pay a fine to the local police.

Figure 1. Browlock ransomware demands a fine for surfing pornography illegally

What is substantial is the number of users getting redirected to the Browlock website. In November, Symantec blocked more than 650,000 connections to the Browlock website. The same trend continues in December. More than 220,000 connections were blocked just 11 days into December. Overall, about 1.8 million connections have been blocked since tracking began in September.

These numbers may not seem particularly large for those familiar with exploit kits and traffic redirection systems, but they solely represent users of Symantec products. The 650,000 connections detected in November is merely a piece of the pie, but the real number is likely to be much larger.

Figure 2. Browlock ransomware’s activity in November and December this year

The previous figures show the amount of activity detected per day. The attacks occur in waves, with two particularly noticeable peaks on November 3 and November 16. On November 16, more than 130,000 computers were blocked from being directed to the Browlock website.

Getting the hits

The Browlock attackers appear to be purchasing traffic that redirects many different visitors to their malicious website. They are using malvertising, an increasingly common approach which involves purchasing advertising from legitimate networks. The advertisement is directed to what appears to be an adult Web page, which then redirects to the Browlock website.

The traffic that the Browlock attackers purchased comes from several sources, but primarily from adult advertising networks. Several security researchers have been tracking this activity for the past few months, notably Malekal and Dynamoo.

In a recent example, the attackers created several different accounts with an advertising network, deposited payment, and began buying traffic to redirect users to a website with a name that resembles an online chat forum. When the user visits the page, they are then redirected to the Browlock site. In fact, the attacker hosts the legitimate-looking domain name on the same infrastructure as the ransomware site itself.  

The Browlock infrastructure

When a victim is directed to the Browlock website, a URL specific to the victim and their country’s law enforcement is generated. For example, visitors from the US are directed to a URL which looks similar to the following:

fbi.gov.id693505003-4810598945.a5695.com

There are two notable elements of this URL. The first is the fbi.gov value and the second is the actual domain, a5695.com. The fbi.gov value is clearly meant to represent the local law enforcement agency. Symantec has identified 29 different law enforcement values, representing approximately 25 regions. The following graph shows the percentage of connections for the top ten law enforcement agencies identified. We found that traffic from the US was the most common. This is followed by Germany, then Europol, which covers European countries when no specific image template has been created.

Figure 3. Top ten regions targeted by Browlock

The second relevant value is the domain. We have seen 196 domains since tracking began. The domains adhere to the format of a single letter followed by four digits and then .com. The actual domains have been hosted on a number of different IP addresses over the past four months.

The most active Autonomous System (AS) has been AS48031 – PE Ivanov Vitaliy Sergeevich, which was used in each of the past four months. The attackers rotated through seven different IP addresses in this AS.

Summary

The Browlock ransomware tactic is simple but effective. Attackers save money by not using a malicious executable or accessing an exploit kit. As the victim simply needs to close their browser to escape from the Web page, one might think that no one will pay up. However, the Browlock attackers are clearly spending money to purchase traffic and so they must be making a return on that investment. The usual ransomware tactic of targeting users of pornographic websites continues to capitalize on a victim’s embarrassment and may account for the success rate.

Symantec protects its customers from Browlock with IPS and AV signatures.

Malicious infrastructures used

AS24940 HETZNER-AS Hetzner Online AG

• IP address: 144.76.136.174 Number of redirected users: 2,387

 AS48031 – PE Ivanov Vitaliy Sergeevich

• IP address: 176.103.48.11 Number of redirected users: 37,521
• IP address: 193.169.86.15 Number of redirected users: 346
• IP address: 193.169.86.247 Number of redirected users: 662,712
• IP address: 193.169.86.250 Number of redirected users: 475,914
• IP address: 193.169.87.14 Number of redirected users: 164,587
• IP address: 193.169.87.15 Number of redirected users: 3,945
• IP address: 193.169.87.247 Number of redirected users: 132,398

AS3255 –UARNET

• IP address: 194.44.49.150 Number of redirected users: 28,533
• IP address: 194.44.49.152 Number of redirected users: 134,206

AS59577 SIGMA-AS Sigma ltd

• IP address: 195.20.141.61 Number of redirected users: 22,960

Nigeria Ifaki Federal University Oye-ekiti

• IP address: 196.47.100.2 Number of redirected users: 47,527

AS44050 – Petersburg Internet Network LLC

• IP address: 91.220.131.106 Number of redirected users: 81,343
• IP address: 91.220.131.108 Number of redirected users: 75,381
• IP address: 91.220.131.56 Number of redirected users: 293

AS31266 INSTOLL-AS Instoll ltd.

• IP address: 91.239.238.21 Number of redirected users: 8,063