ホーム » DDoS

ランサムウェアスポットライト：REvil/Sodinokibi

投稿日:2022年4月14日
脅威カテゴリ:ランサムウェア
執筆:Trend Micro

REvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。

REvil（別名：Sodinokibi）は、RaaS（Ransomware as a Service）のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。

それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。

(さらに…)

バックドア型マルウェア「Setag/BillGates」により「Elasticsearch」サーバをボット化する攻撃を確認

投稿日:2019年7月31日
脅威カテゴリ:ボットウイルス, 脆弱性
執筆:Trend Micro

サイバー犯罪者が全文検索エンジン「Elasticsearch」のサーバを狙うのは、法人組織におけるその人気と普及を考えると珍しいことではありません。事実、2019年第1四半期にはElasticsearchサーバの脆弱性やセキュリティの不備を突く攻撃の急増が見られました。トレンドマイクロの確認では、これらの攻撃は主に仮想通貨発掘マルウェアを送り込むものでした。

しかし最近、直接的に金銭的な利益をもたらすマルウェアではなく、バックドア型マルウェア「Setag（別名：BillGates、トレンドマイクロでは「ELF_SETAG.SM」として検出）」を送り込む攻撃が確認されました。これにより攻撃者は分散型サービス拒否（Distributed Denial of Service、DDoS）攻撃のためのボットネットを構築します。

図1：攻撃の流れ

(さらに…)

Mirai の新亜種を確認、ルータやデバイスにおける13件の脆弱性を利用

トレンドマイクロは、Miraiの新しい亜種（Backdoor.Linux.MIRAI.VWIPTとして検出）を確認しました。この亜種は合計13件の脆弱性を利用します。そのほとんどが以前のMiraiに関連した攻撃において利用されてきました。典型的なMiraiの亜種はバックドアと分散型サービス拒否（Distributed Denial of Service、DDoS）の機能を持っています。しかしながら、今回の場合、13件の脆弱性すべてを1つの活動においてまとめて使用した初めての事例として、他のMiraiの事例と比べて注目されています。
(さらに…)

GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説

投稿日:2018年3月15日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

2018 年 2 月末に報告された増幅型の「分散型サービス拒否（distributed denial-of-service、DDoS）攻撃」で、分散型メモリキャッシュシステム「memcached」を利用する新しい手法が確認されました。DDoS 攻撃で利用されるプロトコルといえば「Domain Name System（DNS）」、「Universal Plug and Play（UPnP）」、「Session Description Protocol（SDP）」、「Network Time Protocol（NTP）」などが一般的です。しかし、memcached を利用すると、過去に確認された DDoS 攻撃よりもはるかに大規模な攻撃を実行される恐れがあります。memcached はデータベースへのアクセスに関連した冗長な処理を削減することでデータへのアクセスを高速化しますが、残念なことにこのような memcached の特徴が DDoS 攻撃の増幅にも威力を発揮することが確認されました。

(さらに…)

ネットワークカメラをボット化する「PERSIRAI」拡散と追随するその他のマルウェア

投稿日:2017年6月14日
脅威カテゴリ:ボットウイルス
執筆:Threats Analysts - Kenney Lu, Tim Yeh and Dove Chiu

ネットワークカメラをボット化する「PERSIRAI」拡散と追随するその他のマルウェア

トレンドマイクロは、2017 年 5 月上旬、1000 機種以上のネットワークカメラ（IP カメラ）を標的にIoT ボットネットを構築するマルウェア「PERSIRAI」（「ELF_PERSIRAI.A」として検出）」に関する記事を公開しました。そして、オンライン検索エンジン「Shodan」を利用した弊社の調査によると、現在、カスタム http サーバを備えた IP カメラの 64 %がこの PERSIRAI に感染していることが判明しました。PERSIRAI が6割以上を占める中、IP カメラは格好の標的であり、多くのマルウェアが利用の機会を狙っています。

(さらに…)

IoTの新たな脅威、ネットワークカメラをボット化する「PERSIRAI」の出現

投稿日:2017年5月11日
脅威カテゴリ:不正プログラム, 脆弱性
執筆:Trend Micro

IoTの新たな脅威、ネットワークカメラをボット化する「PERSIRAI」の出現

トレンドマイクロは、2017年4月、IoTボットネットを構築する新しいマルウェアの検体を入手しました。このマルウェアは、「PERSIRAI」（「ELF_PERSIRAI.A（ペルシライ）」として検出）と呼ばれ、OEMで生産されたネットワークカメラを対象にしており、影響のあるモデルは1,000以上になります。PERSIRAI は、既にインターネット上でソースコードが公開されている「MIRAI」から派生したマルウェアとして出現しました。MIRAI は、昨年、デジタルビデオレコーダ（DVR）や監視カメラ（CCTV）などの「モノのインターネット（Internet of Things、IoT）」の機器を踏み台にして「分散型サービス拒否（distributed denial-of-service、DDoS）」攻撃を実行し、数々の被害を発生させ、2016年の主要なサイバーセキュリティ事例として報告されています。その他、MIRAI から派生したものに「HAJIME」が確認されています。

(さらに…)

IoT機器を「使用不能」にするマルウェア、「BrickerBot」

IoT機器を攻撃する新しいマルウェア「BrickerBot」が確認され、注目を集めています。報告によると、その攻撃経路はマルウェア「MIRAI」に類似していますが、MIRAI が感染IoT機器をボット化する一方、BrickerBot は IoT機器を完全に使用不能にするのが特徴です。

BrickerBot は、ネットワーク接続機器のハードウェアの不具合を利用しファームウェアを改変します。この事例を最初に報告した「Radware」のレポート（英語情報）によると、この攻撃を永続的なサービス拒否「Permanent Denial-of-Service（PDoS）」であると説明しています。

(さらに…)

ルータや IoT機器に危険をもたらす管理用機能の放置

2016年9月から10月にかけて、IoT機器にも感染可能なボット「Mirai」による大規模な「分散型サービス拒否（DDoS）」攻撃が大きな被害を発生させました。それ以来、インターネット上に存在するスマートデバイスやルータを含めた IoT機器を乗っ取る手法について注目が集まっています。12月21日の記事でも取り上げているように、既にルータや IoT機器の「ゾンビ化」「ボット化」させることで攻撃に利用する事例も次々に確認されています。この 11月末にはソニー製の業務用ネットワークカメラ製品の脆弱性が公表され、大きく報道されました。

(さらに…)