2021年1月、トレンドマイクロは暗号化したファイルに拡張子「HELLO」を付加する新種のランサムウェアを発見しました。この新たなランサムウェアファミリは、「HELLO RANSOMWARE」(別名:「WICKRME」)と呼ばれ、別名はサイバー犯罪者との連絡に使用されたチャットアプリケーション「WickrMe」から命名されました。Helloランサムウェアのこれまでの亜種は .heming や .strike などの拡張子を付加することが確認されていますが、サイバー犯罪者が使用するWickrMeのユーザ名は含まれていませんでした。.Helloの拡張子がついた新しいバージョンの身代金要求文書(図2)には、WickrMeの連絡先が記載されるようになりました。このランサムウェア攻撃の侵入経路としては、Microsoft SharePoint serverの脆弱性(CVE-2019-0604)を利用する攻撃が考えられます。
WickrMeの連絡先や明確な要求金額が記載されていない.png)
トレンドマイクロは、Linuxなどで採用されるシェル「Bash」を使ったランサムウェア「DarkRadiation」を確認しました。このランサムウェアは攻撃にBashスクリプトを利用しているものの、そのスクリプト自体はまだ開発途中であると当社は推測しています。攻撃で使用されるコンポーネントの多くは、主に「Red Hat」および「CentOS」向けのLinuxディストリビューションを対象としていますが、一部のスクリプトには、「Debian」向けのLinuxディストリビューションも含まれていました。また、これらのワームやランサムウェアのスクリプトでは、コマンドアンドコントロール(C&C)の通信にメッセージングアプリケーション「Telegram」のAPIを使用していました。さらにまた、攻撃で使用されたコンポーネントほとんどは「Virus Total」での検出数が非常に少ないことも確認されました。実際、これらのランサムウェアの情報が記載されたハッキングツールのURLは、当初Twitter上で報告されていただけでした。
本記事では、今回扱うランサムウェアおよびランサムウェアの展開に使用された「Secure Shell(SSH)ワーム」、そしてこれらが格納されているディレクトリ「api_attack/」を解析した結果を説明します。
図1:ランサムウェア「DarkRadiation」感染時に表示される画面の例
続きを読む2021年7月6日12時更新:
オランダのDIVD CSIRT(Dutch Institute for Vulnerability Disclosure)は、今回のランサムウェア攻撃で使用されるKASEYA VSAのゼロデイ脆弱性の1つとして「CVE-2021-30116」を公表しました。 Kaseyaの脆弱性は、システム管理ツールの調査の一環として発見されました。 KaseyaとDIVD-CSIRTは、この事件の前に調整された開示リリースに取り組んでいました。
さらに、REvil/Sodinokibiの暴露サイト上で今回の事件についての表明が公開されると共に、ユニバーサル復号ツールの取引を推進しているという報告もありました。
図:REvil/Sodinokibiの暴露サイト上の書き込み例(2021年7月5日取得)
先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。
図1:DarkSideを装った攻撃者が送信した脅迫メールの一例
続きを読む最終更新日:2021年5月17日 当初公開日:2021年5月13日
※当初公開日以降の新たな展開および追加情報に基づき、本文および「MITRE ATT&CK」の表を更新
※ トレンドマイクロでは、2021年5月21日(金)14時より本件の緊急ウェビナーを実施します。詳細はこちらをご覧ください。
2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。
トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。
の例.jpg)
トレンドマイクロでは2020年の1年間における国内外での脅威動向について分析を行いました。新型コロナウイルス(COVID-19)のパンデミック(世界的大流行)により、2020年は過去に類を見ない特別な1年間となりました。日本でも緊急事態宣言や外出自粛要請があり、法人組織は事業を継続するために、急激なテレワークの推進などの大きな変化に直面しました。これらの状況により、さらに進んだネットワーク境界線の曖昧化を利用し、サイバー犯罪者はさまざまな手口を駆使した攻撃を次々に展開しました。境界線内、つまりネットワークへ侵入する脅威として、2020年の象徴的存在となったのが新たなランサムウェア攻撃であると言えます。
の例.png)