2021年に出現したランサムウェアファミリの中でも特に注目に値する「Hive」は、わずか4ヶ月間で300社以上の法人組織を侵害したと報告されており、同年下半期に波紋を広げました。これによりHiveの背後にいる攻撃者グループは、数百万米ドル(数億円)の利益を得た可能性があります。トレンドマイクロはその後、2022年3月にほとんど未知のランサムウェア「Nokoyawa」の攻撃手法が、Hiveと多くの共通点を持つことを発見しました。この2つのファミリは、使用するツールから様々な段階での実行順序に至るまで、攻撃チェーンにおける明らかな類似点を共有しています。現在Nokoyawaは南米の、主にアルゼンチンに拠点を置く組織を標的にしていると考えられます。
続きを読むPovlsomware(Ransom.MSIL.POVLSOM.THBAOBAなどとして検出)は概念実証(PoC)の目的で作成されたランサムウェアであり、2020年11月にGithub上で公開されたものです。Githubのページによると、セキュリティ製品のランサムウェア防御機能を「安全に」テストする目的で使用されると述べられています。Povlsomwareは現時点ではそれほど注目を集めておらず、話題として取り上げているサイトが2つか3つある程度です。しかしながら、その特徴には興味深い点がいくつかあります。特に、商用のペネトレーションツールであり、RyukやDoppelPaymerなどのランサムウェアファミリにも悪用されているCobalt Strikeとの互換性は注目に値します。この互換性により、一見シンプルな感染ルーチンが示す以上の能力をランサムウェアに与えています。さらに、この不正プログラムはオープンソースであるため、誰もが変更を加え、攻撃チェーンの一部として使用できます。
トレンドマイクロは、2019年1月下旬から2月上旬にかけて、ハッキングツール「RADMIN」をインストールし、Windowsディレクトリにランダムに命名されたファイルを作成する攻撃の増加を確認しました。また、RADMINに感染した端末のいくつかではマルウェア「MIMIKATZ」も検出されました。当初はこれら2つのマルウェアには関連が無いように思われましたが、解析の結果、最終的に仮想通貨「Monero」を発掘するマルウェアの亜種を送り込む一連の攻撃であることが判明しました。MIMIKATZは、WindowsのSMB Serverの脆弱性を利用して拡散するために、開放された445番ポートをスキャンします。Microsoftは、2017年3月に問題の脆弱性に対する修正プログラム「MS17-010」を公開しています。
続きを読む
