新しいエクスプロイトキット「Bizarro Sundown Exploit Kit (Bizarro Sundown EK)」が確認されました。トレンドマイクロは、複数の種類の暗号化型ランサムウェア「LOCKY」を拡散するこのエクスプロイトキットの2つのバージョンを確認しました。このエクスプロイトキットは、以前から存在する「Sundown Exploit Kit(Sundown EK)」が土台になっています。Sundown EK は、過去に優勢だった「Neutrino Exploit Kit(Neutrino EK)」の活動が停滞した時、「Rig Exploit Kit(Rig EK)」とともに活発化し始めました。
続きを読む暗号化型ランサムウェア「Locky」ファミリは、2016年2月に確認されて以来、注目度の高いランサムウェアの1つとなっています。そしてブラジルのアンダーグラウンドで販売されたり、様々なエクスプロイトキットにより拡散されたりしてきました。また、拡散の手法にマクロや JavaScript、VBScript、Windows スクリプトファイルといったファイルを利用することで知られています。そして今回、トレンドマイクロは、DLLファイルを利用する「Locky」を新たに確認しました。
続きを読む2016年2月17日、トレンドマイクロでは多言語に対応した暗号化型ランサムウェアを確認し「RANSOM_LOCKY」として検出対応しました。そしてこの 19日現在、このランサムウェアを拡散するマルウェアスパムを全世界で 24万通以上確認しています。トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計によれば、19日現在、「RANSOM_LOCKY」は日本でも 60台以上からの検出が確認されており、国内にも流入している状態と思われますので注意喚起致します
続きを読むトレンドマイクロでは 2017 年 1 年間における国内外の脅威動向について分析を行いました。結果、2017 年は様々なサイバー犯罪において特筆すべき変化が起こった「転換期」に位置づけられる年であったと言えます。
2016 年に過去最大規模の被害を発生させた「ランサムウェア」の攻撃総数は、2016 年のおよそ 10 億件から 2017 年はおよそ6億件へと減少しました。しかし、ランサムウェア自体はサイバー犯罪者にとっての「ビジネス」として完全に定着すると共に、より効果的な攻撃を実現させるための攻撃手法の多様化が見られました。2017 年新たに登場した「WannaCry」は 5 月に脆弱性を利用したネットワークワーム活動を取りいれ、6 月以降も継続して拡散を拡大しています。また、既存の「LOCKY」や「CERBER」のような既存のランサムウェアは度重なる改変による多機能化などから、より攻撃しやすいツールとしてサイバー犯罪者に継続して利用されました。これら新旧のランサムウェアの代表である「WannaCry」、「LOCKY」、「CERBER」の 3 種のファミリーでランサムウェア検出台数全体の約 7 割を占める一方、残りの 3 割は「その他」ファミリーによるものであり多種多様なランサムウェアによる小規模な攻撃の多発を示しているものと言えます。
図:全世界におけるランサムウェアファミリー別検出台数推移
新登場の「WannaCry」が単体で全体の 57% を占める一方、
2016 年登場の「CERBER」と「LOCKY」で合わせて 12% を占めた
トレンドマイクロでは 2017 年第 3 四半期(7~9 月)における国内外の脅威動向について分析を行いました。サイバー犯罪者はここ数年、ランサムウェアのように凶悪な脅迫手段を使用して金銭を強奪していました。その傾向は現在も続いていますが、この第 3 四半期には仮想通貨発掘ツール(コインマイナー)のような比較的穏やかな金銭獲得手法も目立ちました。仮想通貨価格の高騰や「Monero」のような新興で発掘効率のよい仮想通貨の存在などがサイバー犯罪者の目を仮想通貨に向かせている状況と言えます。
図:日本からアクセスのあった脆弱性攻撃サイトの全体数とそのうちコインマイナーを拡散するサイト数の推移
トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
