JS ファイル形式で拡散する BlueCrab(Sodinokibi、REvil)ランサムウェアが2021.07.13から配布が中断している。これまでに一定の期間配布を中断した後、変形を作って配布していた履歴が多数存在するが、このように長期間配布を中断した事例はなかった。
BlueCrab ランサムウェアはファイルのダウンロードに偽装したフォーラムページを通じて配布され、JS ファイルをダウンロードして実行時に C2 を通してダウンロードされるスクリプトが実行され、ランサムウェアに感染するという構造である。
韓国国内のユーザーをターゲットとし、当社アンチウイルス製品を狙って変形が作られ続けてきたため、重点的なモニタリング対象であった。そこで ASEC 分析チームでは自動化されたモニタリングシステムを構築し、変形が発生した場合に迅速に対応しており、このブログでもこれに関連した様々な情報を多数掲載している。
- 新たに変形して拡散している JS.BlueCrab ランサムウェア
- 検出回避を実行し続けている BlueCrab ランサムウェア
- BlueCrab ランサムウェア、企業環境では CobaltStrike ハッキングツールをインストール
これらの BlueCrab ランサムウェアの拡散は、2021.07.13以降、不正なページへのリダイレクトが行われていない。そのため、不正なスレッドにアクセスすると従来とは異なり、スレッド本文がそのまま表示される。

最終の配布日のサンプルを基準として、現在 C2 からは何の応答もなく、感染時に確認できるランサムページも接続が不可能な状況である。ランサムページのドメインのうち onion ドメインではなく「decoder.re」も、現在 DNS クエリに応答がない。


海外でも最近発生した米国企業のサプライチェーンへの攻撃、およびランサムウェア感染事件の発生後、ダークウェブ上で BlueCrab(REvil)ランサムウェアに関連する Web ページがすべてシャットダウンしたと報道する中、今回の配布中断という状況も、これと関連があるものと推定される部分である。
ただし、攻撃者が正常な Web サーバーを奪取して公開していた数万個の不正なスレッドはそのまま残っている状態であるため、いつでも配布が再開される可能性があることに注意しなければならない。
過去約1年間の検知ログを解析した結果、多く検知されるキーワードは以下の通りである。ユーザーは主にゲーム、ユーティリティ等をダウンロードしようとしてランサムウェアファイルをダウンロードしてしまう。BlueCrab の配布は現在中断されている状態だが、これと近い方式で配布されるマルウェアの拡散事例も増えているため、ユーザーの注意が必要である。
Minecraft 正規品無料、ROBLOX ハック、Super Bunny Man 無料、マークポケモンモード、キヤノンサービスツール、Isaac 最新バージョン、キービューア、Minecraft ポートマイナー、天才教育教科書 pdf、Windows 7 professional k iso、GOM Player 統合コーデック、Geometry Dash 2.0 pc、The Binding of Isaac : Afterbirth +、miplatform activex、キッズちゃん市場ごっこ、Minecraft ジャンプマップ、Han Show PowerPoint、鉄拳7無料、lg スマート体 ttf、Windows 10 Adobe Flash 手動、Minecraft 都市マップ、steam ゲーム 無料、グーグルスケッチアップ 無料、動く壁紙 無料、スペースデスク、任天堂 wii ゲーム、俺だけレベルアップ pdf、ハングル Word 無料、オート CAD 2019 x force、ddos 攻撃プログラム、ハンコム2010無料、三国志11 pk インストール不要、hevc コーデック、インクサンズボス戦、pmbok ハングル版 pdf、フレディのピザ店1、スタークラフトリマスターマップ、ポケットモンスターアルファサファイア ROM ファイル、SketchUp 2017クラック、リマスターマップハック、イラスト無料インストール、電気内線規定、JavaScript ファイル、7080曲コレクション、Dishonored 2 ハングルパッチ、オート CAD 2014 Keygen、Sims 4 ハングル無料、InDesign cs6 ハングル版、ユンデザイン無料フォント |
[IOC 情報]
- http[:]//www.archivalladolid.org/web/%ED%95%9C%EA%B8%80-%EC%9B%8C%EB%93%9C-%EB%AC%B4%EB%A3%8C-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C/
- http[:]//www.mict.it/?p=14023
- http[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion
- http[:]//decoder.re
Categories:マルウェアの情報