韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER(マグニバー)」(「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出)が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement(不正広告)」を介し、脆弱性攻撃ツール(エクスプロイトキット)「Magnitude Exploit Kit (Magnitude EK)」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。
続きを読むAdobe は、2015年6月、定例セキュリティ情報で Flash Player に存在する脆弱性の修正プログラムを公開しましたが、現在も特に米国、カナダ、英国のユーザは「CryptoWall 3.0」に感染する恐れがあります。このエクスプロイトコードは、トレンドマイクロの製品では「SWF_EXPLOIT.MJTE」として検出され、「Magnitude Exploit Kit」に利用されます。この脆弱性を利用した攻撃により、攻撃者はファイルを暗号化して身代金を要求する「Cryptoランサムウェア」を攻撃対象とする PC に感染させることが可能です。弊社は、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を通じて脅威状況を監視していた際に、この不正活動の兆候を 2015年6月15日(米国時間)に初めて確認しました。
続きを読む本ブログで 2017 年 2 月に解説したように、2016 年には、主要な脆弱性攻撃ツール(エクスプロイトキット、EK)の活動停止や減少が確認されました。しかし、エクスプロイトキットの活動は完全に停止したわけではありません。「malvertisement(不正広告)」や、スパムメール内の不正リンク、あるいは侵害した Web サイトのように、以前と同様の手口の利用を続けているものの、最近再び脅威状況の中で重要な位置を占めるようになってきました。「Rig EK」、「GrandSoft EK」、そして非公開の「Magnitude EK」がその良い例です。これらのエクスプロイトキットは、比較的最近確認された脆弱性を利用し、仮想通貨発掘マルウェアやランサムウェア、ボットのローダ、そしてオンライン銀行詐欺ツール(バンキングトロジャン)などのマルウェアを送り込みます。
続きを読む暗号化型ランサムウェア「CERBER(トレンドマイクロでは「RANSOM_CERBER」ファミリとして検出対応)」は、初めて検出報告が確認されてから 1年が経過し、いまや最も活発なランサムウェアファミリとして周知されています。「CERBER」は、2016年3月に初めてロシアのアンダーグラウンド市場で確認されて以来、ファイル構造、手法、各種機能など、サイバー犯罪者に何度も更新されており、中には「CERBER 4.1.5」など、わずか 1日で更新されたケースもありました。その勢いは、「LOCKY(「RANSOM_LOCKY」ファミリとして検出対応)」など、他のランサムウェアファミリの影が薄くなる程度に及びました。
「CERBER」は、入手しやすさの点で他の暗号化型ランサムウェアとの差別化を図りました。サイバー犯罪者は、いち早く「Ransomware as Service(サービスとしてランサムウェア、RaaS)」のビジネスモデルを導入し、購入可能なランサムウェアとしてサイバー犯罪者に周知させました。こうして CERBERの背後にいるサイバー犯罪者は、被害者が支払った身代金の分け前から利益を得ることになり、その割合は最大で身代金の 40%にも及びました。こうした努力の結果、いまや「CERBER」はサイバー犯罪の「ドル箱」となり、2016年だけで実に 20万米ドル(2017年4月18日のレートで約2,218万4,000円)を稼いだと報じられています。
こうして大きな利益をもたらし、かつカスタマイズ可能であることから、「CERBER」のさまざまなバージョンが登場したのも不思議ではありません。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」で「CERBER」の影響範囲を確認したところ、企業および個人ユーザ双方において圧倒的に米国へ集中していました。業界別では、教育、製造、公共、テクノロジー、保健医療、エネルギー、運送などが影響を受けていることを確認しています。
続きを読む「脆弱性攻撃ツール(エクスプロイトキット)」の活動は 2016年下半期より、「Magnitude Exploit Kit(Angler EK)」、「Nuclear EK」、「Neutrino EK」、「Neutrino」、「Rig EK」を中心に減少傾向を示しています。しかしこれは、エクスプロイトキット自体が活動を諦めたわけではありません。「Astrum EK(別名:「Stegano EK」)」は、従来から存在するあまり目立たないエクスプロイトキットとして知られていますが、最近トレンドマイクロでは、このエクスプロイトキットの更新を複数回確認しました。
「Astrum EK」は、不正広告キャンペーン「AdGholas(アドゴラス)」だけに利用されるエクスプロイトキットとして知られ、この広告キャンペーンを介したオンライン銀行詐欺ツール「Dreambot/Gozi(別名「URSNIF」、「BKDR_URSNIF」として検出対応)」や「RAMNIT(「TROJ_RAMNIT」、「PE_RAMNIT」として検出対応)」など、深刻な脅威をもたらしていました。また、別の不正広告キャンペーン「Seamless」による不正サイトへの誘導に利用されることも、弊社では確認しています。「Seamless」は、通常、「Rig EK」が利用されることで知られています。
「Astrum EK」の最近の活動からは、複数の更新が施され、上述のような既存のマルウェアに利用されるだけでなく、利用範囲を広げ、今後の大規模なキャンペーン活動の準備をしているようにも見えます。特に「ディフィー・ヘルマン鍵交換(DH鍵交換)」を悪用して、セキュリティリサーチャやエンジニアの解析やフォレンジック分析を阻もうとする手口は、セキュリティ対策へ挑戦とも見て取れます。
続きを読む仮想環境で解析を行うサンドボックス技術は、ネットワークの最終防衛ラインであるエンドポイントセキュリティ対策製品が広く採用する仕組みです。砂場という名称の通り、サンドボックスはマルウェアや疑わしいファイルがルーチンを実行するなど、自由に振る舞うことのできる仮想環境です。マルウェアを仮想環境で実行してその実際の活動を既存の振る舞いやルーチンのパターンと比較分析し、悪意の有無を判定します。このように、システムのインフラストラクチャに被害を与える恐れのある信頼できないファイルを隔離し、エンドポイントセキュリティをより確かなものにします。
続きを読む前回、サイバー犯罪集団「Lurk(ラーク)」が利用する痕跡を残さない手法、2011年から2014年までの活動について報告しました。今回、2014年から関係者50人が逮捕され活動停止するまでの2016年の活動、そして、こうした脅威の被害に遭わないため対策などについて報告します。
- 痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認
- 2011年から 2012年初期:Lurk、活動を開始
- 2012年中頃から 2014年中頃:マルウェアの向上、組織化した犯罪集団に
第2回 攻撃の拡大と組織の消滅:
- 2014年から 2016年:不正活動を世界に拡大
- 2016年:Lurk の消滅
- 被害に遭わないために
「脆弱性攻撃ツール(エクスプロイトキット)」の脅威状況は、2016年後半に大きく変わりました。それまで非常によく利用されていたエクスプロイトキットが突然減少する、あるいはサイバー犯罪者がその運用方法を切り替える、などの変化が見られました。「Angler Exploit Kit(Angler EK)」は、2015年以来、最も活発なエクスプロイトキットでしたが、突然活動を終了しました。2016年第1四半期に検出された 340万件のAngler EKの攻撃について、トレンドマイクロが追跡調査したところ、2016年後半、攻撃率は「0」にまで急低下しました。
続きを読む「CERBER」の作成者およびこのランサムウェアを利用するサイバー犯罪者は、自身の利益をより増やすことに余念がないようです。このランサムウェアは、バージョン 4.0から、企業に大きな影響を与えるデータベースファイルの暗号化機能を追加しています。整理された情報を保管する収納庫であるデータベースは、企業が保持する情報を保管・検索・分類・分析・管理することを可能にします。効果的に利用すれば、企業の効率アップに役立つデータベースですが、これらの重要なファイルを人質に取られれば、ビジネスの運営と収益に損害を受ける恐れがあります。
続きを読む