ホーム » 暗号化型ランサムウェア

新しく確認された暗号化型ランサムウェア「PRINCESS EVOLUTION」が RaaS 利用者を募集

トレンドマイクロは、2018 年 7 月 25 日以降、「malvertisement（不正広告）」と脆弱性攻撃ツール（エクスプロイトキット）「Rig EK」を利用して、仮想通貨発掘マルウェアや暗号化型ランサムウェア「GandCrab」を拡散する活動を確認してきました。その後、8 月 1 日には、Rig EK によって、今まで知られていなかったランサムウェアが拡散されていることを確認しました。この新種と思われるランサムウェアを詳細に解析したところ、匿名ネットワーク「Tor」内で身代金支払いページを確認することができました。このランサムウェアは「PRINCESS EVOLUTION（プリンセスエボリューション）」（「RANSOM_PRINCESSLOCKER.B」として検出）と呼ばれおり、実際に、2016 年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョンであることが判明しました。PRINCESS EVOLUTION は、「Ransomware as a Service（サービスとしてのランサムウェア、RaaS）」として提供されており、アンダーグラウンドの掲示板で利用者を募集していました。

図 1：身代金支払いページの「PRINCESS EVOLUTION」のロゴ

(さらに…)

Word ファイルの暗号化および自己複製機能を備えた暗号化型ランサムウェア「qkG」を確認

投稿日:2017年11月27日
脅威カテゴリ:サイバー犯罪
執筆:Trend Micro Cyber Safety Solutions Team

トレンドマイクロは、暗号化型ランサムウェア「qkG」（「RANSOM_CRYPTOQKG.A（クリプトキューケージー）」として検出）の興味深い検体をいくつか確認しました。qkG は「Visual Basic for Applications（VBA）」のみで作成された従来型のマクロマルウェアで、Microsoft Word の全文書対象の標準テンプレート “normal.dot” に感染します。

(さらに…)

新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される

投稿日:2017年10月25日
脅威カテゴリ:サイバー犯罪
執筆:Trend Micro

新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される

新しい暗号化型ランサムウェア「Bad Rabbit」（「RANSOM_BADRABBIT.A（バッドラビット）」として検出）が確認され、ロシアおよび東欧の各国で拡散活動が確認されています。トレンドマイクロの「XGen™セキュリティ」は Bad Rabbitを「TROJ.Win32.TRX.XXPE002FF019」として検出。2017 年 6 月に欧州の国々に影響を与えた「PETYA（ペトヤまたはペチャ）」の攻撃から、当初は、「PETYA」の亜種と考えられていました。

第一報では、主な被害はウクライナとロシアの輸送システムとメディアとされています。ウクライナの「コンピュータ緊急事態対策チーム（CERT-UA）」はさらなるランサムウェアの攻撃に注意喚起するための勧告を公開しています。

トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計では、24 日中に Bad Rabbit と推測される不正活動をロシア国内で 100 件以上ブロックしたことが分かっています。また、日本への影響に関しては、Bad Rabbit を拡散する改ざんサイトへの日本からのアクセスは 90 件以下、そこから誘導されるダウンロードサイトへのアクセスも数件のみに留まっており、現時点では限定的であったものと考えられます。

■初期解析

図 1：「Bad Rabbit」の感染チェーン
(さらに…)

エクスプロイトキット「Magnitude EK」が韓国を対象に暗号化型ランサムウェア「MAGNIBER」を拡散

韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER（マグニバー）」（「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出）が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement（不正広告）」を介し、脆弱性攻撃ツール（エクスプロイトキット）「Magnitude Exploit Kit （Magnitude EK）」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。

(さらに…)

「LOCKY」と「FAKEGLOBE」、2つのランサムウェアを交互に拡散するスパムメール送信活動を確認

「LOCKY」と「FAKEGLOBE」、2つのランサムウェアを交互に拡散するスパムメール送信活動を確認2017年9月初旬、暗号化型ランサムウェア「LOCKY（ロッキー）」の最新の亜種を拡散する大規模なスパムメール送信活動が確認されました。2016年2月に初めて確認された悪名高いLOCKY は、継続して「改良」され、拡散方法も変化しており、特にスパムメールを利用した拡散が特徴的です。トレンドマイクロが最近のスパムメール送信活動で利用された検体を詳しく調査した結果、サイバー犯罪者はさらに改良した拡散方法によって、70カ国以上のユーザに影響を与えていることが判明しました。

(さらに…)

「WannaCry」の残した被害と教訓、2017 年上半期の脅威動向を分析

トレンドマイクロでは、2017 年上半期（1～6月）における国内外の脅威動向について分析を行いました。この上半期に見られたセキュリティ上の最も大きなトピックは、「WannaCry」と「Petya」という 2 種のランサムウェアによる世界的な被害だったと言えます。この 2 種のランサムウェアは脆弱性を利用したネットワークワーム活動により、法人組織のネットワークで被害を引き起こしました。特に、通常の組織内にある情報系ネットワークだけでなく、工場や病院、鉄道、販売管理システムといった業種特有環境のネットワークでも深刻な被害を発生させたことで大きな注目を集めました。

図 1：「WannaCry」が表示する身代金要求メッセージの例
(さらに…)

続報：欧州を中心に甚大な被害、暗号化型ランサムウェア「PETYA」の活動を詳細解析

本ブログでも既報の通り、欧州を中心に暗号化型ランサムウェア「PETYA（ペトヤまたはペチャ）」の亜種による大規模な攻撃が確認されています。トレンドマイクロでは今回の事例で使用された PETYAの活動について、より詳細な解析を行いました。その結果、「MS17-010」脆弱性（通称：Eternal Blue）の利用以外にも、PsExec や WMICと言ったマイクロソフトが提供する正規ツールを利用したネットワークワーム活動など、PETYA が持つ非常に巧妙な活動が明らかになりました。

(さらに…)

大規模な暗号化型ランサムウェア攻撃が欧州で進行中、被害甚大

暗号化型ランサムウェア「PETYA（ペトヤまたはペチャ）」の亜種による大規模な攻撃が、欧州を中心に確認されています。トレンドマイクロではこの亜種が、攻撃経路において脆弱性攻撃ツール「EternalBlue」と「PsExec」の両方を利用することを確認するとともに、「RANSOM_PETYA.TH627」、「RANSOM_PETYA.SMA」などとして既に検出対応しています。法人および個人の皆さんは、下記の対策を取り、感染拡大を防ぐようお願いします。

(さらに…)

続報：暗号化型ランサムウェア「Erebus」が Linux を標的に

2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が暗号化型ランサムウェア「Erebus（エレブス）（「RANSOM_ELFEREBUS.A」として検出）」による攻撃を受け、同社が管理する153台のLinuxサーバが感染し、ホストしていた3,400以上の企業のWebサイトへの影響が確認されました。

NAYANA は、6月12日、同社の Web サイトで告知し、管理するすべてのサーバのファイルを復号するために、攻撃者が「Bitcoin（ビットコイン、BTC）」で 550BTC（162万米ドル）にも上る高額な身代金を要求していることを明らかにしました。そして6 月 14 日の告知で、攻撃者との交渉の結果、身代金が 397.6BTC（2017 年 6 月 19 日の時点でおよそ 101 万米ドルに相当）に減額され、6 月 17日の告知で3 回に分けた支払いのうち、既に 2 度目の支払いを完了していることを発表しました。また同社は、6 月 18 日、50 台ごとに 3 次に分けて実施されるサーバ復旧作業の計画と進行状況を公開しています。２次のサーバのいくつかではデータベース（DB）エラーが発生しているとのことです。1 次と２次のサーバ復旧が成功した後で、３回目の支払いが行われる予定です。

金額は異なるものの、今回の事例は、身代金を支払ったにも関わらずファイルを完全に修復することができず、2 度目の身代金を請求されたカンザス州の病院の事例を思い起こさせます。

2016年9月に初めて確認されたErebusは、「malvertisement（不正広告）」によって拡散し、システムに対する未許可の変更を防ぐWindowsの機能「User Account Control（UAD）」を回避する手法を利用していました。本記事では、Linux版Erebusについて、現時点で判明している注目すべき手法について解説します。

(さらに…)

Linuxサーバを狙ったランサムウェア「Erebus」とその対策

2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が管理する 153 台の Linux サーバが暗号化型ランサムウェア「Erebus（エレブス）」（「RANSOM_ELFEREBUS.A」として検出）の亜種に感染したことが判明し、大きな注目を集めています。この攻撃により、NAYANA のサービスを利用するおよそ3,400 の企業の Web サイト、データベース、マルチメディアファイルが影響を受けています。

(さらに…)

Page 1 of 412 › »