ランサムウェア攻撃とは標的のネットワークに侵入し、ファイル暗号化マルウェアを使ってファイルを暗号化した後、身代金の支払いを要求するというものだ。そういった攻撃を実施する上で一風変わったテクニックを用いる新たな活動が確認された。
提供:Getty Images
「Royal」ランサムウェアが最初に登場したのは9月のことであり、複数の脅威グループによって拡散されている。しかしMicrosoftのセキュリティ脅威インテリジェンスチーム(MSTIC:Microsoft Security Threat Intelligence Team)によると、その中のあるグループは、ペイロードの配布と隠蔽(いんぺい)において「新機軸を生み出し続けている」という。これにより被害者は、ネットワークを暗号化されるまで侵入に気付かない場合もよくあるという。
さまざまな手段で実行されるこの攻撃は、同社が暫定的に「DEV-0569」と呼んで追跡しているグループによるものとされており、このグループの出自や身元は依然として明らかになっていないという。
Royalランサムウェアを用いたDEV-0569の攻撃キャンペーンでは、一般的なサイバー攻撃の手法も用いられている。それは、悪意のあるファイルが添付されたフィッシングメールであり、添付ファイルにはランサムウェアのペイロードをダウンロードするためのバックドアとして使われる「BATLOADER」マルウェアが仕掛けられている。
Royalランサムウェアによる攻撃を仕掛けようとするこのグループが初期ペイロードを送り込むためのフィッシング手法はこれだけではない。同社は、DEV-0569が一般的によく利用されているビジネスアプリケーションの正規のインストーラー/アップデートを装ったリンクを記した電子メールを使用し、ペイロードを送り込んできている点についても言及している。こういった偽のアップデートをダウンロードすることで、マルウェアを送り込むためのバックドアがインストールされる。
DEV-0569はこの他にも、問い合わせフォームを利用して標的にアクセスし、マルウェアを送り込むという一風変わったテクニックも用いている。もっとも、この手法によってランサムウェア攻撃を仕掛けるのはDEV-0569が初めてではない。とは言え、今のところ珍しい攻撃手法であるため、防御側で考慮されていない可能性もある。
この攻撃者は国の財務機関を名乗り、標的となる組織のウェブサイトに設置されている問い合わせフォームからメッセージを送信してくる。標的がこのメッセージに応答した場合、攻撃者は返信し、標的をだましてBATLOADERをインストールするリンクをクリックさせようとする。
この攻撃者は最近、「Google広告」も悪用しており、リンクをクリックしたユーザーやデバイスを追跡できるようにするマルバタイジング用のリンクを使ってマルウェアを送り込もうとしているという。こういったリンクはBATLOADERを送り込む潜在的な標的を洗い出すために用いられている。
Microsoftは、こういった不正使用をGoogleに報告し、問題の認識と対応の検討を求めたと述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。