2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon(アヴァドン)」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。
トレンドマイクロでは2020年上半期(1~6月)における国内外での脅威動向について分析を行いました。2020年、新型コロナウイルスのパンデミック(世界的大流行)によって、世界に大きな変化がもたらされることは、誰も予想していなかったことでしょう。コロナ禍が及ぼした大きな影響は、実世界においてもサイバー世界においても「新たな日常」となりました。サイバー犯罪者はこの状況を利用し、メール、ソーシャルメディア、不正サイト、偽アプリなど、幅広いプラットフォームでさまざまな手口を駆使した攻撃を次々に展開しました。特にこの上半期の期間、国内におけるフィッシング詐欺は過去最大規模となりました。これは多くの利用者において、ネットワークアクセスに費やす時間が長くなっていることなども影響しているものと考えられます。
ランサムウェアを使用するサイバー犯罪者が、その手口を変化させています。データを暗号化して復号キーと引き換えに身代金を要求するだけではなく、情報の窃取と暴露も伴うようになりました。重要なファイルにアクセスできなくなっても身代金を払わない企業に対し、社内情報を一般に公開するという脅し文句が加わりました。ランサムウェア「Nefilim」、「Sodinokibi/REvil」、「DoppelPaymer」、「Maze」などの背後にいるサイバー犯罪者が、この「暗号化」と「暴露」の二重の脅迫手法を採用しました。一部のサイバー犯罪者は、ランサムウェア攻撃の情報窃取と脅迫のプロセスを容易にする目的で、ツールとインフラストラクチャを共有する協力関係を結んでいると考えられています。 (さらに…)
続きを読む攻撃者は、より巧妙に検出を回避するための技術を常に考案しています。トレンドマイクロは、「Netwalker(ネットウォーカー)」と名付けられたランサムウェアによる攻撃を確認しました。このランサムウェアのコードはコンパイルされておらずPowerShellで作成されており、ランサムウェア本体のバイナリをディスク上に保存することなく、直接メモリ内で実行されます。このように「ファイルレス活動」を実行するNetwalkerは、感染コンピュータ内の既存ツールを悪用することによって攻撃を展開し、検出を回避して活動を持続化させます。
「反射型DLLインジェクション(Reflective DLL Injection)」または「反射型のDLL読み込み(Reflective DLL Loading)」とも呼ばれる手法を利用する脅威として、「ColdLock」と呼ばれるランサムウェアによる攻撃を2020年5月に確認していますが、今回のNetwalkerランサムウェアは、同様の攻撃をファイルレスで実行しています。反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能です。ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的と言えます。これにより、DLLをプロセスへロードされたモジュールとして登録する必要がなくなり、DLLのロードを監視するツールからの回避が可能になります。
Netwalkerのペイロードは、「Ransom.PS1.NETWALKER.B」として検出されるPowerShellスクリプトから始まります。 (さらに…)
続きを読む台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。
トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の2つのランサムウェアファミリー「Lockergoga」(「LOCKERGOGA」ファミリーとして検出対応)および「Freezing」(「FREEZING」ファミリーとして検知対応)、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。
トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。 (さらに…)
続きを読むTrend Microが海外で提供する「Managed XDR」とインシデントレスポンス(IR)チームは、2020年3月に初めて発見されたランサムウェア「Nefilim(ネフィリム)」の侵入を受けた企業の事例を調査しました。この調査から、Nefilimを使用する攻撃者によるネットワーク侵入後の巧妙な活動と、標的組織に対する事前の情報入手の可能性が明らかになりました。 (さらに…)
続きを読む2019年に注目された攻撃のいくつかにも登場した暗号化型ランサムウェアに「Sodinokibi(ソディノキビ)」(「Ransom.Win32.SODINOKIBI」ファミリとして検出)があります。このランサムウェアに関して、年末以降に、Albany(オールバニー)国際空港や外国為替会社のTravelex(トラベレックス)をはじめとした複数の組織で被害が確認されました。これらの被害には、法人組織におけるランサムウェア被害と攻撃手法の変化が見られています。
オープンソースの暗号化型ランサムウェアの亜種(トレンドマイクロでは「RANSOM.MSIL.SYRK.A」として検出)がオンラインゲーム「フォートナイト(Fortnite)」のプレイヤーへの攻撃に利用されています。フォートナイトは2019年3月の時点で2億5,000万人のプレイヤーを抱えるオンラインビデオゲームです。セキュリティ企業Cyren のリサーチャー MaharlitoAquinoとKervin Alintanahinの調査によると、ランサムウェアは、敵に照準を合わせる精度を上げ(AIMBOT)、マップ上の他のプレイヤーの位置を可視化すると謳うチートツールを装っていることがわかりました。プレイヤーがこのチートツールのファイルをダウンロードして実行すると、プレイヤーのコンピュータに保存されている画像、動画、音楽、ドキュメントなどが、「Syrk(サーク)」と呼ばれるランサムウェアによって暗号化されます。
図1:「Syrk」の脅迫状
暗号化型ランサムウェア「Dharma」は2016年に登場していますが、世界中のユーザや法人を標的にしてその被害を拡大させ続けています。有名な攻撃として、2018年11月に「Dharma」が米国テキサス州の病院システムに感染した事例があげられます。保存されていた記録の多くが暗号化されましたが、 幸いなことに、病院は身代金を支払うことなくこの攻撃による被害から復旧することができました。トレンドマイクロは、2019年4月、検出回避のためにソフトウェアのインストールを利用してその活動を隠ぺいしようとするDharmaの新しい検体を確認しました。
(さらに…)