2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon(アヴァドン)」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。
サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。
図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ
本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。
続きを読むトレンドマイクロは、ランサムウェアによる攻撃が 2017 年には高止まりとなり、時間の経過と共にその手口や標的が多様化していくことを予測していました。2018 年前半にはランサムウェアの活動は急減していますが、より巧妙な手口を利用して身代金を要求する攻撃が確認されています。その格好の例が、2018 年 9 月に確認されたボットネットを構築する暗号化型ランサムウェア「Viro」(「RANSOM_VIBOROT.THIAHAH」として検出)です。Viro は、ランサムウェアとボットネットの両方の機能を備えており、米国のユーザに影響を与えました。PC に感染すると、スパムメールによって自身を拡散するボットネットの一部となります。Viro と既知のランサムウェアファミリとの関連は確認されていません。Viro が初めて確認された 2018 年 9 月 17 日は、弊社が、悪名高い暗号化型ランサムウェア「Locky」を模倣したランサムウェアの亜種を解析したちょうど 7 日後のことでした。
続きを読むトレンドマイクロでは 2017 年 1 年間における国内外の脅威動向について分析を行いました。結果、2017 年は様々なサイバー犯罪において特筆すべき変化が起こった「転換期」に位置づけられる年であったと言えます。
2016 年に過去最大規模の被害を発生させた「ランサムウェア」の攻撃総数は、2016 年のおよそ 10 億件から 2017 年はおよそ6億件へと減少しました。しかし、ランサムウェア自体はサイバー犯罪者にとっての「ビジネス」として完全に定着すると共に、より効果的な攻撃を実現させるための攻撃手法の多様化が見られました。2017 年新たに登場した「WannaCry」は 5 月に脆弱性を利用したネットワークワーム活動を取りいれ、6 月以降も継続して拡散を拡大しています。また、既存の「LOCKY」や「CERBER」のような既存のランサムウェアは度重なる改変による多機能化などから、より攻撃しやすいツールとしてサイバー犯罪者に継続して利用されました。これら新旧のランサムウェアの代表である「WannaCry」、「LOCKY」、「CERBER」の 3 種のファミリーでランサムウェア検出台数全体の約 7 割を占める一方、残りの 3 割は「その他」ファミリーによるものであり多種多様なランサムウェアによる小規模な攻撃の多発を示しているものと言えます。
図:全世界におけるランサムウェアファミリー別検出台数推移
新登場の「WannaCry」が単体で全体の 57% を占める一方、
2016 年登場の「CERBER」と「LOCKY」で合わせて 12% を占めた
トレンドマイクロでは 2017 年第 3 四半期(7~9 月)における国内外の脅威動向について分析を行いました。サイバー犯罪者はここ数年、ランサムウェアのように凶悪な脅迫手段を使用して金銭を強奪していました。その傾向は現在も続いていますが、この第 3 四半期には仮想通貨発掘ツール(コインマイナー)のような比較的穏やかな金銭獲得手法も目立ちました。仮想通貨価格の高騰や「Monero」のような新興で発掘効率のよい仮想通貨の存在などがサイバー犯罪者の目を仮想通貨に向かせている状況と言えます。
図:日本からアクセスのあった脆弱性攻撃サイトの全体数とそのうちコインマイナーを拡散するサイト数の推移
トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
北朝鮮のインターネットは、ハッカーが北朝鮮国内から国外にアクセスするのみで、外からはアクセス不可能な一方通行のネットワークだと一般には考えられているようです。2014 年の「Sony Pictures」に対するハッキングや、各国銀行を襲ったサイバー銀行強盗は、北朝鮮の攻撃者によるものだと報告されています。これらの事例と北朝鮮を関連づけるために入手可能な公開情報は、北朝鮮の IP アドレス空間からのインターネット通信です。同国のインターネットは厳しく管理されており、ネットワーク内の PC が攻撃を受けることも無いと考えられているかもしれません。では、国外のサイバー犯罪者が管理するボットが 1 年以上にもわたって北朝鮮で活動できた理由は何でしょう。通常のマルウェアが北朝鮮の PC を感染させることは可能なのでしょうか。また、北朝鮮に割り振られた IP アドレスはすべて同国で使用されているのでしょうか。本記事では、これらの問いについて調査することにより、北朝鮮によるものだと考えられていた攻撃について得られた知見を解説します。
続きを読む韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER(マグニバー)」(「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出)が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement(不正広告)」を介し、脆弱性攻撃ツール(エクスプロイトキット)「Magnitude Exploit Kit (Magnitude EK)」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。
続きを読む