Kaseya VSA にサプライチェーン攻撃を仕掛けるランサムウェア(REvil グループ) Posted By Hansoyoung , 2021年 July 15日 MSP(Managed Service Provider)および企業管理ソリューションの開発社である Kaseya のプログラム VSA(各種パッチ管理とクライアントのモニタリングを実行する cloud ベースのマネジメントサービス)の脆弱性を利用して配布されたランサムウェアは、韓国国内でも活発に拡散している BlueCrab(Sodinikibi)ランサムウェアであると確認された。以下の図は当該ランサムウェアに感染された場合のデスクトップの画面であり、韓国国内で活発に拡散している BlueCrab と同じであることがわかる。韓国国内で問題視されている BlueCrab…
ランサムウェアによる企業への攻撃が増加!企業のシステムを狙うランサムウェアの攻撃事例 Posted By Hansoyoung , 2021年 June 8日 企業をターゲットとするサイバー攻撃が日に日に増加している。この5月だけでも、米国の最大送油管運営企業がランサムウェアによる攻撃を受け、送油管施設の稼働が全面中断する事例があった。また、韓国国内の有名なデリバリープラットフォーム企業もランサムウェアによる攻撃を受け、数万個の店舗とライダーが被害を受けた。 韓国の科学技術情報通信部が報道した資料[1]によると、<直近3年間の韓国国内ランサムウェア通報現況>は、年々増加している状況である。ランサムウェアは企業のサービス運用と内部の機密情報を人質にとり、仮想通貨を要求する。最近になって仮想通貨の価格が大幅に上がったため、すぐにサービスの運用再開を必要とする立場である企業をターゲットにして、攻撃が増加しているのである。 マルウェアの機能においても、企業をターゲットとする攻撃が増加している状況を確認できる。一般の個人ユーザーか企業かを確認して、異なる機能が動作するようにしている。多数のユーザーが存在する企業の特性上、システムが AD(Active Directory)環境で構成されたドメインに属している場合が大半である。マルウェアは、ドメインの存在有無によって企業であるかどうかを判断している。ドメインに参加しているシステムの場合、アカウントの奪取と内部伝播のためにハッキングツールをインストールしたり、追加のマルウェアをダウンロードしたりする。マルウェアは企業情報を奪取し、最終的にはランサムウェアを実行する。 これまで AhnLab が解析して公開したマルウェアのうち、企業をターゲットにしたマルウェアには以下のような事例がある。参考に、バックドアやダウンローダー系のマルウェアはランサムウェアを直接生成、および実行するのではなく、ハッキングツールで制御するためのバックドアを追加でインストールして企業のシステムを掌握している。以降、攻撃者はハッキングツールを利用してシステムにランサムウェアを実行する。現在までに確認された攻撃はすべて Cobalt Strike ハッキングツールを利用していた。 BazarLoader,…
BlueCrabランサムウェア、企業環境ではCobaltStrikeハッキングツールをインストール Posted By Hansoyoung , 2021年 February 1日 AhnLab ASEC 分析チームは JS 形式で出回っている BlueCrab ランサムウェア(= Sodinokibi、REvil)感染プロセスで、特定条件においては CobaltStrike ハッキングツールを配布することを確認した。CobaltStrike ハッキングツールは、本来は合法的な目的でペネトレーションテストのために限定的に使用されていたツールであったが、最近ソースコードが流出された以降、マルウェアにおいても活発に使用されている。最近確認された BlueCrab…
検出回避を実行し続けているBlueCrabランサムウェア Posted By Hansoyoung , 2021年 January 28日 BlueCrab ランサムウェア(=Sodinokibiランサムウェア)は、韓国国内のユーザーをターゲットに活発に出回っているランサムウェアで、複数の検索ワードを利用して生成された偽のフォーラムページを通して拡散することが特徴である。配布元ページからダウンロードされた JS ファイルを開くと、感染プロセスが開始される。この配布元ページは検索エンジンの検索結果の上位に表示されるため、ユーザーがアクセスしやすく、頻繁に多くのユーザーから感染が報告されている。AhnLab ASEC 分析チームは、このランサムウェアに関連する様々な記事を掲載している。 新たに変形して拡散するJS.BlueCrabランサムウェア BlueCrabランサムウェア配布元サイトの公開 (2) BlueCrab ランサムウェアは、アンチウイルスソフトを回避するために頻繁に変形を作り出しているが、各感染段階ごとに様々な変形を作り出して診断の回避を試みている。このランサムウェアは長期間変形することなく維持されたあと、時折数か月間で非常に活発に変形を作り出す特徴を示してきた。2019年11月から2020年1月まで活発な変形が確認されたあと、しばらくは大きな変化がなかったが、2020年10月から12月までの間は頻繁に変形が確認された。この記事では、BlueCrab ランサムウェアの感染プロセスを解説し、アンチウイルスソフトを回避するための攻撃プロセスの変更内容について説明する。…