トレンドマイクロでは2021年1年間における国内外での脅威動向について分析を行いました。2021年、多くの企業や組織で急速なデジタルトランスフォーメーション(DX)が進む中、サイバー犯罪者はコロナ禍の状況に便乗し、さまざまな不正活動や攻撃の機会を捉え、新旧さまざまな脅威をもたらしました。
Povlsomware(Ransom.MSIL.POVLSOM.THBAOBAなどとして検出)は概念実証(PoC)の目的で作成されたランサムウェアであり、2020年11月にGithub上で公開されたものです。Githubのページによると、セキュリティ製品のランサムウェア防御機能を「安全に」テストする目的で使用されると述べられています。Povlsomwareは現時点ではそれほど注目を集めておらず、話題として取り上げているサイトが2つか3つある程度です。しかしながら、その特徴には興味深い点がいくつかあります。特に、商用のペネトレーションツールであり、RyukやDoppelPaymerなどのランサムウェアファミリにも悪用されているCobalt Strikeとの互換性は注目に値します。この互換性により、一見シンプルな感染ルーチンが示す以上の能力をランサムウェアに与えています。さらに、この不正プログラムはオープンソースであるため、誰もが変更を加え、攻撃チェーンの一部として使用できます。
本稿では、ランサムウェアファミリー「White Rabbit」を解析し、この新規ランサムウェアファミリーが駆使する、よく知られた検出回避の手法について解説します。トレンドマイクロは、2021年12月、米国の地方銀行を攻撃した新たなランサムウェアファミリー「White Rabbit」を確認しました。このランサムウェアファミリーは、既によく知られたランサムウェアファミリー「Egregor」を参考にした隠ぺい手法を備えており、サイバー犯罪者グループ「FIN8」と関連する可能性があると見られています。
図1:ランサムウェアの実行のコマンドラインを示すSysTracerのログ例
rabbit.exeの引数として-p KissMe が使用されていることがわかる
トレンドマイクロは、ランサムウェア「LockBit」が侵入時に用いるツール群を追跡調査する中で、2021月10月のアンダーグラウンドフォーラム「RAMP」内でアフィリエイト(攻撃を行う実行犯)候補者に向けた「LockBit Linux-ESXi Locker version 1.0(ESXiサーバを標的とするLinux版LockBit 1.0)」の告知を発見しました。これは、「LockBit」ランサムウェアの背後にいるサイバー犯罪者グループ(LockBitグループ)が、攻撃対象をLinuxホストにまで拡大したことを示しています。トレンドマイクロは10月以降、Linux版LockBit 1.0による実際の攻撃活動を観測しています。
続きを読む2021年2月、トレンドマイクロはランサムウェアファミリ「Conti」による攻撃に関連した一連の疑わしいイベントに対して警戒を強めていたところ、弊社製品であるTrend Micro Vision Oneによって攻撃の痕跡を確認しました。Contiは悪名高いランサムウェアファミリ「Ryuk」の後継とされていました。実際、攻撃者は次第に、過去にRyukの拡散に使用された手法と同じ手口で不正プログラムを配信するようになりました。たとえば、他のマルウェアファミリ「Trickbot」、「Emotet」、「BazarLoader」がContiの配信に使用されています。本稿では、商用のペネトレーションツール「Cobalt Strike beacon」がContiによってどのように使用されているか、またトレンドマイクロがTrend Micro Vision Oneプラットフォームを使用してContiによる脅威をどのように追跡したのかを解説していきます。
続きを読むランサムウェア攻撃の危険性は誰もが知るところでしょう。また、暴露型ランサムウェアグループが用いる「多重脅迫モデル」による最新の被害事例に関する報道は、最高情報セキュリティ責任者(CISO)やセキュリティオペレーションセンター(SOC)で業務にあたる人々の夢に出てくるほどの苦悩をもたらしている可能性があります。
トレンドマイクロは、ランサムウェア攻撃の影響や復旧プロセスを経て、被害者が何を経験するのかをより深く理解することで、今後の事例で同様の事態に陥った際に役立ててほしいと考えました。このためトレンドマイクロは、5つのランサムウェアファミリ「Conti」、「Lockbit 2.0」、「AvosLocker」、「Hive」、「HelloKitty for Linux」の被害者向けサポートチャットを調査しました。
続きを読むトレンドマイクロは、最近発見された新種のランサムウェアファミリ「Yanluowang」の検体を分析しました。これらの検体が持つ興味深い側面の1つは、窃取された / 不正に署名された有効なデジタル署名を使用してファイルにコード署名が施されていることです。さらにこれらの検体は、データベースやバックアップの管理に関連する「Veeam」や「SQL」を含む様々なプロセスを強制的に終了させます。
当該記事公開の数週間前に発見されたとみられるYanluowangランサムウェア(中国の神「Yanluo Wang」から命名される)は、その後キャンペーンに関連付けられているほか、このランサムウェアのオペレータが少なくとも2021年8月から米国企業に対して標的型攻撃を仕掛けていると言及されています。
続きを読む