検索:
ホーム   »   ランサムウェア

Chaosランサムウェア:潜在的に危険なアプリケーションに付随する概念実証(PoC)

  • 投稿日:2021年9月1日
  • 脅威カテゴリ:不正プログラム, ランサムウェア, サイバー犯罪
  • 執筆:Trend Micro
0

2021年6月以降、トレンドマイクロでは「Chaos」と呼ばれる開発中のランサムウェアビルダーを監視しています。これは、あるアンダーグラウンドのフォーラムでテスト用に提供されており、バージョン1.0ではRyukの.NETバージョンを名乗っていましたが、そのサンプルをよく調べてみると昨今の悪名高いランサムウェアとの共通点はあまりないことがよくわかります。事実、現在のChaosは4代目ですが、それ以前のバージョンはランサムウェアというよりも破壊活動を行うトロイの木馬と言うべき活動内容でした。

本ブログ記事では、Chaosランサムウェアビルダーの特徴および世代が更新されるごとにどのような能力が新たに付加されているかを解説します。

(さらに…)

続きを読む
Tags: ランサムウェアランサムウェアビルダーChaosChaosランサムウェア

「LockBit 2.0」のランサムウェア攻撃が拡大中。日本にも被害を及ぼす攻撃活動を解説

  • 投稿日:2021年8月25日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

「豪州サイバーセキュリティセンター(ACSC)」は2021年8月、ランサムウェア「LockBit」を操るサイバー犯罪者グループが新たに「LockBit 2.0」として再び活動を活発化させていることを報告しました。この報告では、今回の攻撃活動において標的となる企業の数が増加し、「Ryuk」や「Egregor」などの暴露型ランサムウェアファミリの影響を受けたと見られる二重脅迫の手口が組み込まれていることが示されています。本記事では、このLockBit 2.0を使用する新たなランサムウェア攻撃についてトレンドマイクロの調査結果をまとめます。トレンドマイクロでは既に日本国内でもLockBitランサムウェアによる被害を複数確認しており、今後の拡大が懸念されます。

図1:ランサムウェアLockBitの検出台数推移(トレンドマイクロ調べ)
図1:ランサムウェアLockBitの検出台数推移(トレンドマイクロ調べ)

(さらに…)

続きを読む
Tags: 二重脅迫ランサムウェアEgregorLockBitRaaSRyuk

2021年登場のランサムウェア「Hello」、SharePoint脆弱性からWebシェル使用の手口を解説

  • 投稿日:2021年7月19日
  • 脅威カテゴリ:不正プログラム, 脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2021年1月、トレンドマイクロは暗号化したファイルに拡張子「HELLO」を付加する新種のランサムウェアを発見しました。この新たなランサムウェアファミリは、「HELLO RANSOMWARE」(別名:「WICKRME」)と呼ばれ、別名はサイバー犯罪者との連絡に使用されたチャットアプリケーション「WickrMe」から命名されました。Helloランサムウェアのこれまでの亜種は .heming や .strike などの拡張子を付加することが確認されていますが、サイバー犯罪者が使用するWickrMeのユーザ名は含まれていませんでした。.Helloの拡張子がついた新しいバージョンの身代金要求文書(図2)には、WickrMeの連絡先が記載されるようになりました。このランサムウェア攻撃の侵入経路としては、Microsoft SharePoint serverの脆弱性(CVE-2019-0604)を利用する攻撃が考えられます。

図1:以前の身代金要求文書(ランサムノート)WickrMeの連絡先や明確な要求金額が記載されていない
図1:以前の身代金要求文書(ランサムノート)
WickrMeの連絡先や明確な要求金額が記載されていない

(さらに…)

続きを読む
Tags: ランサムウェアChina ChopperCVE-2019-0604HelloWebシェル

Linuxを狙うBash型ランサムウェア「DarkRadiation」

  • 投稿日:2021年7月15日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

トレンドマイクロは、Linuxなどで採用されるシェル「Bash」を使ったランサムウェア「DarkRadiation」を確認しました。このランサムウェアは攻撃にBashスクリプトを利用しているものの、そのスクリプト自体はまだ開発途中であると当社は推測しています。攻撃で使用されるコンポーネントの多くは、主に「Red Hat」および「CentOS」向けのLinuxディストリビューションを対象としていますが、一部のスクリプトには、「Debian」向けのLinuxディストリビューションも含まれていました。また、これらのワームやランサムウェアのスクリプトでは、コマンドアンドコントロール(C&C)の通信にメッセージングアプリケーション「Telegram」のAPIを使用していました。さらにまた、攻撃で使用されたコンポーネントほとんどは「Virus Total」での検出数が非常に少ないことも確認されました。実際、これらのランサムウェアの情報が記載されたハッキングツールのURLは、当初Twitter上で報告されていただけでした。

本記事では、今回扱うランサムウェアおよびランサムウェアの展開に使用された「Secure Shell(SSH)ワーム」、そしてこれらが格納されているディレクトリ「api_attack/」を解析した結果を説明します。

図1:ランサムウェア「DarkRadiation」感染時に表示される画面の例

(さらに…)

続きを読む
Tags: ランサムウェアDarkRadiationLinux

クライアント管理サービスのKaseya社製品経由でランサムウェアREvil/ Sodinokibiが拡散か

  • 投稿日:2021年7月5日
  • 脅威カテゴリ:サイバー攻撃, 速報
  • 執筆:Trend Micro
0

2021年7月6日12時更新:

オランダのDIVD CSIRT(Dutch Institute for Vulnerability Disclosure)は、今回のランサムウェア攻撃で使用されるKASEYA VSAのゼロデイ脆弱性の1つとして「CVE-2021-30116」を公表しました。 Kaseyaの脆弱性は、システム管理ツールの調査の一環として発見されました。 KaseyaとDIVD-CSIRTは、この事件の前に調整された開示リリースに取り組んでいました。

さらに、REvil/Sodinokibiの暴露サイト上で今回の事件についての表明が公開されると共に、ユニバーサル復号ツールの取引を推進しているという報告もありました。


図:REvil/Sodinokibiの暴露サイト上の書き込み例(2021年7月5日取得)

(さらに…)

続きを読む
Tags: ランサムウェアREvilSODINOKIBI

「偽DarkSide」の脅迫キャンペーン、標的はエネルギー業界や食品業界

  • 投稿日:2021年6月23日
  • 脅威カテゴリ:メール, サイバー犯罪, サイバー攻撃
  • 執筆:Trend Micro
0

先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。

Figure 1.. Sample content from the email sent by threat actors posing as DarkSide

図1:DarkSideを装った攻撃者が送信した脅迫メールの一例

(さらに…)

続きを読む
Tags: ランサムウェアDARKSIDE

新種のランサムウェア攻撃:AlumniLocker、Humbleを解説

  • 投稿日:2021年6月17日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

2021年に入り、トレンドマイクロが新たに発見したランサムウェアの亜種に、AlumniLockerとHumbleがあります。この2つの亜種はそれぞれ暗号化後に高度な挙動および脅迫を行います。

これらのランサムウェアでは、被害者の重要なデータを公開するという二重脅迫が行われます。この2つの亜種の存在から、ランサムウェアが前年に続き2021年においても標的型のアプローチを採用していることが分かります。

(さらに…)

続きを読む
Tags: AlumniLockerランサムウェアHumble

新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker

  • 投稿日:2021年6月2日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

ランサムウェアは絶えず進化し続けています。これは大企業を狙うランサムウェアファミリや、標的型のアプローチを採用するランサムウェアファミリだけではなく、新種のランサムウェアファミリにも言えることです。

今回は、新たに発見されたSeth-Lockerと呼ばれるランサムウェアファミリを紹介します。次に、Babuk Locker、Maoloa、TeslaCryptの亜種の進化についても取り上げます。最後に人気のあるゲームを装うCobraLockerという亜種の出現について解説します。

(さらに…)

続きを読む
Tags: ランサムウェアBabuk LockerCobraLockerMaoloaSeth-LockerTeslaCrypt

ランサムウェア「Cring」の被害が国内で拡大、VPN脆弱性を狙い侵入

  • 投稿日:2021年5月20日
  • 脅威カテゴリ:対策技術, サイバー攻撃, 脆弱性, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロでは、2021年に入り新たに登場したランサムウェア「Cring(クリング)」の被害が国内で拡大していることを確認しました。トレンドマイクロが2021年1~4月の間にインシデント対応を支援したランサムウェア被害事例のうち、およそ7割が「Cring」によるものでした。

 図:ランサムウェア「Cring」の身代金要求文(ランサムノート)の例

(さらに…)

続きを読む
Tags: ランサムウェアクリングCringVPN

ランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説

  • 投稿日:2021年5月17日
  • 脅威カテゴリ:サイバー攻撃, 速報
  • 執筆:Trend Micro
0

最終更新日:2021年5月17日 当初公開日:2021年5月13日

※当初公開日以降の新たな展開および追加情報に基づき、本文および「MITRE ATT&CK」の表を更新

※ トレンドマイクロでは、2021年5月21日(金)14時より本件の緊急ウェビナーを実施します。詳細はこちらをご覧ください。

2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。

トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。

図1:Darksideが使用する脅迫状(ランサムノート)の例
図1:Darksideが使用する脅迫状(ランサムノート)の例

(さらに…)

続きを読む
Tags: ランサムウェア四重脅迫DARKSIDEDDoS攻撃RaaS
Page 3 of 11 « ‹ 234 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.