検索:
ホーム   »   DARKSIDE

ランサムウェアスポットライト:REvil/Sodinokibi

  • 投稿日:2022年4月14日
  • 脅威カテゴリ:ランサムウェア
  • 執筆:Trend Micro
0

REvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。

REvil(別名:Sodinokibi)は、RaaS(Ransomware as a Service)のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。

それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。

(さらに…)

続きを読む
Tags: ランサムウェアサプライチェーン攻撃BlackMatterDARKSIDEDDoSGandCrabKPOT StealerMimikazQAKBOTRaaSREvilUNKNWater Mare

マルウェア「Zloader」の歴史と攻撃手法を概説

  • 投稿日:2021年10月20日
  • 脅威カテゴリ:攻撃手法
  • 執筆:Trend Micro
0

バンキングマルウェア「ZBOT(別名:Zeus)」は、過去20年間で最も多くの被害をもたらした古くから存在するマルウェアファミリの1つです。ZBOTは2006年に初めて登場した後、2011年にアンダーグラウンドフォーラム上にそのソースコードを流出させたことで、その後数年間にわたって企業や組織を悩ませる新たな亜種を数多く登場させることになります。

最近確認されたZBOTの中で最も注目すべき亜種の一つが「Zloader」です。2019年後半に「Silent Night」という名前で初めてコンパイルされたZloaderは、情報窃取型マルウェアに始まり、「Cobalt Strike」、「DarkSide」、「Ryuk」などの他のマルウェアやツールをインストールして実行するための手段を攻撃者に提供する多機能ドロッパーへと高度化してきました。さらにZloaderは、攻撃者にリモートアクセス(遠隔操作)を提供したり、さらなる不正活動を可能にするプラグインをインストールしたりする機能も備えています。

インフォグラフィック:一目でわかるZloaderへ移動

(さらに…)

続きを読む
Tags: Cobalt StrikeDARKSIDERyukZBOTZLoader

「偽DarkSide」の脅迫キャンペーン、標的はエネルギー業界や食品業界

  • 投稿日:2021年6月23日
  • 脅威カテゴリ:メール, サイバー犯罪, サイバー攻撃
  • 執筆:Trend Micro
0

先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。

Figure 1.. Sample content from the email sent by threat actors posing as DarkSide

図1:DarkSideを装った攻撃者が送信した脅迫メールの一例

(さらに…)

続きを読む
Tags: ランサムウェアDARKSIDE

仮想環境をも侵害するLinux版「DARKSIDE」ランサムウェア

  • 投稿日:2021年6月10日
  • 脅威カテゴリ:サイバー攻撃, 攻撃手法
  • 執筆:Trend Micro
0

2021年5月に米国の石油パイプライン大手Colonial Pipeline社を操業停止に追い込んだランサムウェア「DARKSIDE」は、前回の記事で解説したように、米国、フランス、ベルギー、カナダなどの地域で、製造業、金融業、基幹インフラの企業などを標的にしています。またWindowsおよびLinux双方のプラットフォームも標的としています。この記事では、Linux版「DARKSIDE」ランサムウェアの動作を解説します。Linux版では特に、VMware ESXIサーバ上の仮想マシン関連ファイルを標的とし、事前に組み込まれた環境設定により仮想マシン(VM)を強制終了する点や、感染端末上のファイルを暗号化した後、窃取したシステム情報をリモートサーバに送信する挙動などをもっています。DARKSIDE自体は既に活動停止状態と考えられていますが、WindowsだけでなくLinux環境にも感染する、仮想環境をも攻撃対象とするなどの活動は、攻撃を受けた組織の被害を一層拡大させる可能性があり、他のランサムウェアでも行われる可能性が高いものであることに留意してください。

Windows版およびLinux版のDARKSIDEランサムウェアの動作の違いをまとめると、以下のとおりとなります。

Windowsバージョン Linuxバージョン
暗号化の仕組み RSA-1024によるSalsa20 RSA-4096によるChaCha20
暗号化ブロック Salsa20のマトリックスがカスタムとなり「RtlRandomExW」でランダムに生成される ChaCha20の初期ブロックは標準的なものであり、定数文字列「expand 32-byte k」で構築される
環境設定 暗号化される 暗号化されない
VMを強制終了するか しない する
暗号化の標的となるファイル 設定に記載されているファイル、フォルダ、ファイル拡張子を除く、システム上のすべてのファイル VMware ESXIサーバ上のVM関連ファイル(環境設定に記載されている特定のファイル拡張子を持つもの)
新たに追加される拡張子 感染端末のHWIDを「.4731c768」としてCRC32を数回適用して生成する 埋め込み設定により「.darkside」としてハードコード化されているか、実行パラメータで付与される
脅迫状のファイル名 README.という設定でハードコード 化された部分と、前述の生成されたIDで構成される。例えば「README. 4731c768.TXT」 埋め込み設定により「darkside_readme.txt」としてハードコード化されているか、実行パラメータで付与される

表1:WindowsおよびLinuxにおけるDARKSIDEの比較

(さらに…)

続きを読む
Tags: DARKSIDE

ランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説

  • 投稿日:2021年5月17日
  • 脅威カテゴリ:サイバー攻撃, 速報
  • 執筆:Trend Micro
0

最終更新日:2021年5月17日 当初公開日:2021年5月13日

※当初公開日以降の新たな展開および追加情報に基づき、本文および「MITRE ATT&CK」の表を更新

※ トレンドマイクロでは、2021年5月21日(金)14時より本件の緊急ウェビナーを実施します。詳細はこちらをご覧ください。

2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。

トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。

図1:Darksideが使用する脅迫状(ランサムノート)の例
図1:Darksideが使用する脅迫状(ランサムノート)の例

(さらに…)

続きを読む
Tags: ランサムウェア四重脅迫DARKSIDEDDoS攻撃RaaS

要注意脅威まとめ:注目ランサムウェア「DARKSIDE」と「CRYSIS」、情報窃取型「NEGASTEAL」、アプリにバンドルされたコインマイナー

  • 投稿日:2020年10月27日
  • 脅威カテゴリ:スパムメール, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロでは日夜脅威の監視と対応を行っています。その中からさまざまな脅威が利用する高度に開発された攻撃手法に着目しました。ランサムウェアにおいては、新たな暗号化型ランサムウェアファミリ「DARKSIDE(ダークサイド)」が出現する一方で、別のランサムウェアファミリ「CRYSIS」(別名Dharma)を背後で操る攻撃者がハッキングツールキットを一般に公開しました。メッセージ機能を悪用する脅威においては、攻撃対象を絞った標的型メールの送信活動(キャンペーン)を介して情報窃取型マルウェア「NEGASTEAL(ネガスティール)」(別名Agent Tesla)が拡散されました。またファイルレス活動を行う脅威においては、不正マイニングを狙い、コインマイナーが正規アプリケーションにバンドルされ頒布されていることが確認されました。

(さらに…)

続きを読む
Tags: ランサムウェアコインマイナーCRYSISDARKSIDENEGASTEAL


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.