ランサムウェアを使用するサイバー犯罪者が、その手口を変化させています。データを暗号化して復号キーと引き換えに身代金を要求するだけではなく、情報の窃取と暴露も伴うようになりました。重要なファイルにアクセスできなくなっても身代金を払わない企業に対し、社内情報を一般に公開するという脅し文句が加わりました。ランサムウェア「Nefilim」、「Sodinokibi/REvil」、「DoppelPaymer」、「Maze」などの背後にいるサイバー犯罪者が、この「暗号化」と「暴露」の二重の脅迫手法を採用しました。一部のサイバー犯罪者は、ランサムウェア攻撃の情報窃取と脅迫のプロセスを容易にする目的で、ツールとインフラストラクチャを共有する協力関係を結んでいると考えられています。 (さらに…)
続きを読む攻撃者は、より巧妙に検出を回避するための技術を常に考案しています。トレンドマイクロは、「Netwalker(ネットウォーカー)」と名付けられたランサムウェアによる攻撃を確認しました。このランサムウェアのコードはコンパイルされておらずPowerShellで作成されており、ランサムウェア本体のバイナリをディスク上に保存することなく、直接メモリ内で実行されます。このように「ファイルレス活動」を実行するNetwalkerは、感染コンピュータ内の既存ツールを悪用することによって攻撃を展開し、検出を回避して活動を持続化させます。
「反射型DLLインジェクション(Reflective DLL Injection)」または「反射型のDLL読み込み(Reflective DLL Loading)」とも呼ばれる手法を利用する脅威として、「ColdLock」と呼ばれるランサムウェアによる攻撃を2020年5月に確認していますが、今回のNetwalkerランサムウェアは、同様の攻撃をファイルレスで実行しています。反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能です。ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的と言えます。これにより、DLLをプロセスへロードされたモジュールとして登録する必要がなくなり、DLLのロードを監視するツールからの回避が可能になります。
Netwalkerのペイロードは、「Ransom.PS1.NETWALKER.B」として検出されるPowerShellスクリプトから始まります。 (さらに…)
続きを読む台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。
トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の2つのランサムウェアファミリー「Lockergoga」(「LOCKERGOGA」ファミリーとして検出対応)および「Freezing」(「FREEZING」ファミリーとして検知対応)、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。
トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。 (さらに…)
続きを読むTrend Microが海外で提供する「Managed XDR」とインシデントレスポンス(IR)チームは、2020年3月に初めて発見されたランサムウェア「Nefilim(ネフィリム)」の侵入を受けた企業の事例を調査しました。この調査から、Nefilimを使用する攻撃者によるネットワーク侵入後の巧妙な活動と、標的組織に対する事前の情報入手の可能性が明らかになりました。 (さらに…)
続きを読む2019年に注目された攻撃のいくつかにも登場した暗号化型ランサムウェアに「Sodinokibi(ソディノキビ)」(「Ransom.Win32.SODINOKIBI」ファミリとして検出)があります。このランサムウェアに関して、年末以降に、Albany(オールバニー)国際空港や外国為替会社のTravelex(トラベレックス)をはじめとした複数の組織で被害が確認されました。これらの被害には、法人組織におけるランサムウェア被害と攻撃手法の変化が見られています。
脆弱性攻撃ツール(エクスプロイトキット、EK)の活動は、数百万もの活動が検出された最盛期当時に比べて相当の減少傾向にあります。しかし、2019年前半には「Greenflash Sundown EK」が再登場するなど、今後もその攻撃が消滅することはないものと考えられます。そのような活動継続中のエクスプロイトキットの例として、「Rig Exploit Kit(Rig EK)」があげられます。ダウンローダ、ランサムウェア、仮想通貨発掘マルウェア、情報窃取型マルウェアなど多様なペイロードを拡散することで知られるRig EKは、侵入および拡散手法に常に調整を施され改良されています。
(さらに…)
暗号化型ランサムウェア「Dharma」は2016年に登場していますが、世界中のユーザや法人を標的にしてその被害を拡大させ続けています。有名な攻撃として、2018年11月に「Dharma」が米国テキサス州の病院システムに感染した事例があげられます。保存されていた記録の多くが暗号化されましたが、 幸いなことに、病院は身代金を支払うことなくこの攻撃による被害から復旧することができました。トレンドマイクロは、2019年4月、検出回避のためにソフトウェアのインストールを利用してその活動を隠ぺいしようとするDharmaの新しい検体を確認しました。
(さらに…)
2018年において、ランサムウェアによる攻撃は減少傾向にありましたが、最近は再び元の勢いを取り戻しつつあるようです。しかしながら、今回確認されたランサムウェア攻撃は以前のようなばらまき型の攻撃に比べると標的を絞っているように見受けられます。身代金要求文書に社名が記載された米国の飲料会社に対するランサムウェア攻撃のニュースが発表された直後、トレンドマイクロは米国の製造会社を攻撃した暗号化型ランサムウェア「BitPaymer」の亜種(「Ransom.Win32.BITPAYMER.TGACAJとして検出)を調査しました。飲料会社の事例と同様に身代金要求文書に社名が記載されていたことから、この事例も標的型の攻撃だった可能性があります。
(さらに…)
1月11日の記事でもお伝えしている通り、2019年に入ってから日本向けにランサムウェアをばらまくマルウェアスパムの攻撃が発生、継続しています。当初は件名と本文は「:-)」などの「顔文字」のみとなっていましたが、件名はほどなく「I Love You」、「My love letter for you」などの英文に変化しました。そのため一般には「Love Youランサムスパム」などとも呼ばれているようです。その後1月末ごろからは「Kyary Pamyu Pamyu ;)」、「Sheena Ringo ;)」などのように日本の女性芸能人の名前を入れた件名も確認されており、日本を攻撃対象に定めて様々な手口を試しているように思えます。ただしいずれの件名にせよ、添付ファイルを開くと最終的にランサムウェア、不正コインマイナー、そしてスパムメール送信に使用されるスパムボットに複合感染する危険なものとなっています。トレンドマイクロではこの危険なマルウェアスパムの調査を進め、その送信を司っているスパムボット「Phorpiex(フォルピエックス)」の存在を確認しました。そして更なる調査の結果「Phorpiex」は、一般的にスパムメール送信を主な活動とするスパムボットの枠を外れ、それ自体が遠隔からランサムウェアなどのマルウェアを感染させる凶悪な攻撃などを行う危険なものであることがわかりました。
続きを読む