2016年5月18日(米国時間)、暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)が活動を停止し、復号に必要なマスターキーが無料で公開されました。このランサムウェアに関連する脅威状況の一大事件の裏で、CRYPTESLA が利用していた手口を再利用しようとするサイバー犯罪者がいるようです。この事例に先立って、4月に、従来のランサムウェア「REVETON」の背後にいるサイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
続きを読む人生で避けられないのは死と税金、と言われますが、サイバー犯罪についても同じことが言えそうです。米国では確定申告の締切が近づき、何百万という人が申告書類を準備している時期です。サイバー犯罪者は、この確定申告という好機を見逃さず利益を得ようと、納税者を狙った様々な攻撃を行っているようです。トレンドマイクロでは、確定申告に関連した、偽の送金指示メール「Business E-mail Compromise(BEC)」の攻撃による被害にあった企業の最近の事例を確認しています。そして今回、インターネット上で恐喝するサイバー犯罪者もこの騒動に加わったようです。
続きを読むファイルを暗号化して復号を理由に金銭を要求するだけでは、物足りなかったようです。今回新たに確認されたCyrptoランサムウェア(暗号型ランサムウェア)「PETYA」は、ブルースクリーン(BSoD)を引き起こし、PC再起動時のオペレーションシステム(OS)が読み込まれる前に、身代金要求メッセージを表示します。通常であれば、PC を起動すると OS を読み込み中であることを知らせる Windowsのアイコンが表示されるはずです。しかし、この暗号型ランサムウェアに感染すると、背景が赤で白のドクロマークが点滅して表示されることになります。
![図1:感染後のPCが起動時に表示されるドクロマーク](/wp-content/uploads/2016/03/160325comment01.jpg)
図1:感染後のPCが起動時に表示されるドクロマーク
2016年2月17日、トレンドマイクロでは多言語に対応した暗号化型ランサムウェアを確認し「RANSOM_LOCKY」として検出対応しました。そしてこの 19日現在、このランサムウェアを拡散するマルウェアスパムを全世界で 24万通以上確認しています。トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計によれば、19日現在、「RANSOM_LOCKY」は日本でも 60台以上からの検出が確認されており、国内にも流入している状態と思われますので注意喚起致します
続きを読むトレンドマイクロ リージョナルトレンドラボ(RTL)では、日本に関連する脅威情報を調査しています。2015年12月8日のブログ(「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的) で、ZIP圧縮された JavaScript を添付したマルウェアスパムが全世界的に拡散している旨をお知らせしました。ブログ執筆時点ではこのマルウェアスパムの 日本への流入は少量と見ていましたが、12月9日時点においてこの手口に関連する不正URL のブロック数が国内で急増しており、日本にも相当数が流入していることが確認できました。このため、改めてこのランサムウェア「CrypTesla」を拡散させるマルウェアスパム攻撃の手口についてお知らせします。
続きを読む2015年12月6日、国内のネット上で突如「vvvウイルス」の存在が大きな話題となりました。Twitter上での話題のピークとなった 12月6日12時には「vvvウイルス」についてのツイートを1時間で 5,000件以上確認しています。トレンドマイクロでこの「ウイルス」の存在について確認したところ、暗号化型ランサムウェア「CrypTesla」ファミリー(別名:TeslaCrypt)の新しい亜種である可能性が高いものとわかりました。また、このランサムウェアを拡散する攻撃は必ずしも特に日本を狙ったものではなく、世界的にも特に大規模な拡散には至っていないことも明らかになりました。しかし、このケースに関わらず、各種ランサムウェアによる被害は国内で拡大しておりますので注意は怠らないでください。
続きを読む