ホーム » GandCrab

ランサムウェアスポットライト：REvil/Sodinokibi

投稿日:2022年4月14日
脅威カテゴリ:ランサムウェア
執筆:Trend Micro

REvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。

REvil（別名：Sodinokibi）は、RaaS（Ransomware as a Service）のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。

それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。

(さらに…)

2020年上半期ランサムウェア動向拾遺：「Avaddon」、新たな回避手法、業界別被害事例、など

投稿日:2020年9月11日
脅威カテゴリ:その他, 攻撃手法
執筆:Trend Micro

2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon（アヴァドン）」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。

(さらに…)

「顔文字」、「LoveYou」スパムの背後に凶悪スパムボット、ランサムウェア遠隔攻撃も実行

1月11日の記事でもお伝えしている通り、2019年に入ってから日本向けにランサムウェアをばらまくマルウェアスパムの攻撃が発生、継続しています。当初は件名と本文は「:-)」などの「顔文字」のみとなっていましたが、件名はほどなく「I Love You」、「My love letter for you」などの英文に変化しました。そのため一般には「Love Youランサムスパム」などとも呼ばれているようです。その後1月末ごろからは「Kyary Pamyu Pamyu ;)」、「Sheena Ringo ;)」などのように日本の女性芸能人の名前を入れた件名も確認されており、日本を攻撃対象に定めて様々な手口を試しているように思えます。ただしいずれの件名にせよ、添付ファイルを開くと最終的にランサムウェア、不正コインマイナー、そしてスパムメール送信に使用されるスパムボットに複合感染する危険なものとなっています。トレンドマイクロではこの危険なマルウェアスパムの調査を進め、その送信を司っているスパムボット「Phorpiex（フォルピエックス）」の存在を確認しました。そして更なる調査の結果「Phorpiex」は、一般的にスパムメール送信を主な活動とするスパムボットの枠を外れ、それ自体が遠隔からランサムウェアなどのマルウェアを感染させる凶悪な攻撃などを行う危険なものであることがわかりました。

(さらに…)

新年にランサムウェアの「ばらまき攻撃」が「顔文字メール」で復活

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、新年を迎えると共にメール経由でマルウェアを拡散させる新たな攻撃の発生を確認しました。この攻撃では、件名とメール本文が「:)」、「:D」などのいわゆる「顔文字」のみとなっている特徴的なメールが拡散されていますが、この「顔文字」メールを開いてしまうとどのような実害に繋がるものであったのかを解説します。

図：1月3日時点で確認された「顔文字」マルウェアスパムの例
(さらに…)