攻撃者は、より巧妙に検出を回避するための技術を常に考案しています。トレンドマイクロは、「Netwalker（ネットウォーカー）」と名付けられたランサムウェアによる攻撃を確認しました。このランサムウェアのコードはコンパイルされておらずPowerShellで作成されており、ランサムウェア本体のバイナリをディスク上に保存することなく、直接メモリ内で実行されます。このように「ファイルレス活動」を実行するNetwalkerは、感染コンピュータ内の既存ツールを悪用することによって攻撃を展開し、検出を回避して活動を持続化させます。

「反射型DLLインジェクション（Reflective DLL Injection）」または「反射型のDLL読み込み（Reflective DLL Loading）」とも呼ばれる手法を利用する脅威として、「ColdLock」と呼ばれるランサムウェアによる攻撃を2020年5月に確認していますが、今回のNetwalkerランサムウェアは、同様の攻撃をファイルレスで実行しています。反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能です。ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的と言えます。これにより、DLLをプロセスへロードされたモジュールとして登録する必要がなくなり、DLLのロードを監視するツールからの回避が可能になります。

Netwalkerのペイロードは、「Ransom.PS1.NETWALKER.B」として検出されるPowerShellスクリプトから始まります。 (さらに…)

台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。

トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の２つのランサムウェアファミリー「Lockergoga」（「LOCKERGOGA」ファミリーとして検出対応）および「Freezing」（「FREEZING」ファミリーとして検知対応）、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。

トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。 (さらに…)

2019年10月1日、米国の医療機関「DCH Health System」運営の病院3施設がランサムウェアの被害に見舞われ、ITシステムの復旧期間中、重篤でない患者の転院が強いられる事態となりました。しかもこの被害は、米国食品医薬品局（Food and Drug Administration, FDA）が、医療機器や病院内ネットワークの脆弱性に関する11件のセキュリティリスクについて、患者や医療従事者、その他の関係者へ注意喚起を実施していた矢先に発生しました。

(さらに…)