人間が操作する巧妙なランサムウェアで被害が拡大--マイクロソフトの調査

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2020-03-10 14:22

 Microsoftは近年、最も被害が大きなランサムウェアの戦術や手法について、調査した結果を発表した。これらの攻撃は自動化されておらず、人間がキーボードを介して操作しているという。

 ランサムウェアを扱うグループは、国家の支援を受けたハッカーと同じ手段を用いるようになっており、「システム管理やネットワークセキュリティでありがちな構成ミスについて広範な知識がある」。そして、徹底した偵察を行った後に「壊滅的な」ランサムウェアのペイロードを送り込む、と警告している。

 「当社の調査によれば、これらの攻撃キャンペーンは隠密性には無関心のように見え、ネットワーク内で自由に活動できることを示している」(Microsoft)

 Microsoftが調査したランサムウェアの亜種には、「REvil」「Samas(またはSamSam)」「Doppelpaymer」「Bitpaymer」「Ryuk」などがある。REvilが要求する身代金の平均は26万ドルで、選ぶ標的とその要求額から「大物を狙った」ランサムウェアに分類されるだろう。フォーチュン500に名を連ねる米国の設計・産業建設企業のEMCOR Groupは2月に、同社の2019年第4四半期の売上高は、Ryukによるダウンタイムが原因で悪影響を受けたことを明らかにした。

 またMicrosoftは、同社が「Parinacota」と呼ぶ(Microsoftはサイバー犯罪の攻撃者に火山の名称を使用している)マルウェアグループを18カ月間にわたって監視している。これまでは、マシンをハッキングして仮想通貨マイニングマルウェアをインストールし、スパムを送信するというのが常とう手段だった。しかし最近は、企業ネットワークに「Wadhrama」ランサムウェアを仕掛け、ショーウィンドーを破って強引に窃盗する「smash and grab」式の攻撃を行い、ネットワークに侵入して1時間以内には身代金を請求している。また機会さえあれば、偵察を行い、ネットワーク内を移動するという。

 Parinacotaは通常、RDP(リモートデスクトッププロトコル)の総当り攻撃を仕掛ける。インターネットで脆弱なデバイスをスキャンして、一般的な一連のパスワードを次々と試していく。

 Microsoftは、このグループ独特の戦術の1つを特定した。Microsoft Threat Protectionインテリジェンスチームによると、攻撃者はネットワークへのアクセスを得た後、侵入したマシンのインターネット接続の有無と処理能力を調べる。

 同チームはブログ記事で、「マシンが特定要件を満たしているか調べた後に、その他の標的を対象にRDP総当り攻撃を行っている。ほかの同種のランサムウェアでは見られない手法で、攻撃者はブロックされている可能性が低い、ほかのインフラストラクチャーを悪用できる。侵入したマシンに何カ月間も、動作中のツールを残したままという例があった」と述べている。

 Wadhramaランサムウェアのグループは、侵入したマシン1台当たり0.5〜2ビットコイン(4500〜1万8268ドル)の身代金を請求する。請求金額は、そのマシンがユーザーにとってどれだけ重要であるかを勘案する。

 ほかにも、人間が操作するランサムウェアの例としてRyukがあり、これは銀行を狙ったトロイの馬「Trickbot」を介して、ネットワークに侵入する。

 「ランサムウェアの起動が、新旧さまざまなTrickbotインプラントで発生しているため、Ryukの背後にいる攻撃者はランサムウェアを展開するために、標的の状況を確認する何らかのリストを使用している可能性が高い」と、同チームは記している。

 Microsoftによると、Trickbotは脅威レベルが低いと見なされることが多いため、直ちに隔離されないという。

 「これは攻撃者にとって有利に働き、広範なネットワークで執拗に攻撃を展開することになる。またTrickbotとRyukの攻撃者は、その環境のローカル管理者を悪用し、そのユーザーが持つ権限を盗用して、本来ならば攻撃を防御するはずのセキュリティツールを無効にする」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  4. ビジネスアプリケーション

    中小企業のDX奮闘記--都市伝説に騙されずに業務改善を実現したAI活用成功譚

  5. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]