編集部からのお知らせ
新着PDF集:データセンターの省電力化
「これからの企業IT」の記事はこちら
ランサムウェア

「Princess」ランサムウェア拡散にRIGエクスプロイトキットが利用される--研究者報告

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2017-09-05 12:27

 既知のエクスプロイトキットを利用したランサムウェアを、ハッキングされたウェブサイトでドライブバイダウンロードで拡散するキャンペーンが、サイバー犯罪者によって新たに展開されているという。

 「RIG Exploit Kit」はかつてほど使われてはいないが、「Internet Explorer」や「Flash Player」の脆弱性を悪用してJavaScript、Flash、VBスクリプトベースの攻撃を開始し、ハッキングされたウェブサイトを訪問したユーザーにマルウェアを配布する。

 このような攻撃は巧妙で、「マルバタイジング」を広めてクリックベースの収益を増加させたり、気づかれないようにマルウェアを拡散することもあった。

 Malwarebytesの研究者らは今回、ハッキングされたウェブサイトでRIGを利用し、「Princess/PrincessLocker」ランサムウェアを拡散するキャンペーンを発見した。

 この形式のランサムウェアはさほど広がっていないが、まず広く拡散することに成功したランサムウェアファミリである「Cerber」と同じテンプレートを利用しているようだ。

 研究者らはCerberとPrincessLockerとの類似点は表面的なものであり、PrincessLockerのコードはCerberのものとは「大きく異なる」と指摘している。

 感染したウェブサイトを訪問したユーザーは、ハッキングされたページに誘導される。このページは、エクスプロイトを悪用し、システムにPrincessLockerを導入するのに使われる。

 フィッシングを目的とした電子メールで実行する通常の手法とは異なるが、マルウェアが配布されてしまえば結果は同じだ。サイバー犯罪者は被害者のファイルを暗号化し、回復させるために身代金を要求する。

Princess マルウェア
提供:Malwarebytes

 PrincessLockerは最初に0.777ビットコイン(約370ドル)を要求する。支払えばファイルを復号する「特別なソフトウェア」が得られるという。この価格は、他のランサムウェアと比べると比較的低価格と言える。

 犯罪者らは、これは7日間だけの「特別価格」だとしており、7日以上待つと、価格は0.1540ビットコイン(約738ドル)に上昇するという。

 PrincessLockerは他のランサムウェアと比べて、比較的単純であると研究者らは判断していた。そのため、PrincessLockerの初期の形式を復号するツールが公開されている。しかし、攻撃者は初期のエラーに気づき、もはやこのツールはより新しい種類のものには効かないようになっているという。

 PrincessLockerの被害に遭わないためには、まず感染しないことだ。そしてエクスプロイトキットが悪用する重大な脆弱性にはパッチを当てておくことだ。このエクスプロイトキットは2年以上前から存在する。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]