トレンドマイクロは10月27日、公式ブログで「要注意脅威まとめ:注目ランサムウェア『DARKSIDE』と『CRYSIS』、情報窃取型『NEGASTEAL』、アプリにバンドルされたコインマイナー」と題する記事を公開しました。
それによると、さまざまなマルウェアの新しい動きが、ここ最近確認されています。具体的には、新たな暗号化型ランサムウェアファミリ「DARKSIDE」が出現したほか、別のランサムウェアファミリ「CRYSIS」(別名Dharma)を使う攻撃者がハッキングツールキットを一般向けに公開しました。そのほか、情報窃取型マルウェア「NEGASTEAL」(別名Agent Tesla)が拡散され、不正マイニングを狙うコインマイナー(仮想通貨発掘ツール)が、正規アプリケーションにバンドルされて配布されていた事例が確認されたとのことです。
はっきりと収益が見込めるランサムウェアを使った「ビジネス」は、登場以来目覚ましい勢いで成長してきました。企業やユーザーのデータを窮地に陥れ(つまり暗号化し)てから、感染したファイルの復元と引き換えに、金銭の支払いを要求するものです。この種の脅威は世界規模で深刻な影響を及ぼし、膨大な数のユーザーに被害を与えてきました。
DARKSIDE/ダークサイドとは
上述の通り、新たなランサムウェアファミリ「DARKSIDE」が出現しました。このランサムウェアの背後にいる攻撃者は、他のランサムウェアファミリ「Maze」や「Nefilim」が採用する手口と同様の戦術を利用し、感染PCを所有する企業またはユーザーが身代金を支払わない場合は暗号化したデータを公開すると脅迫します。
CRYSIS/クライシスとは
クライシスは、「ファイルコーダー」(Filecoder)ファミリーに属する不正プログラムで、その名が示す通り、情報を暗号化し、その復元の見返りに身代金の支払いを要求することを目的としています。RSA(素数によって公開鍵をつくる暗号化方式)とAESの暗号化を用いており、暗号化キーの文字列がかなり長いために、処理されたファイルの復元はほぼ不可能になります。
CRYSISはランサムウェアサービス(Ransomeware as a Service)下で機能し、Toolboxを使用することで、アフィリエイト(ネット広告)を介してランサムウェアをより多くのターゲットに簡単に拡散することができます。
NEGASTEAL/ネガスティールとは
Microsoft Officeの脆弱性を悪用する不正な添付ファイルを介してマルウェアをダウンロードさせる情報窃取型マルウェア「NEGASTEAL」を拡散させる手口では、電子メールのほかリムーバルドライブを介した事例も確認されています。
攻撃メールは受信者に「外部からの送金取引」があると虚偽の通知をし、ユーザーに文書ファイルを含む添付ファイルをダウンロードするよう誘導します。この文書ファイルを実行すると、Microsoft Officeのメモリ破損の脆弱性を利用して、マルウェアのペイロードをダウンロードして実行します。
被害に遭わないためには
■公式サイトまたはアプリストアからのみアプリをダウンロードしましょう。
■身に覚えのない送信者からのメール、あるいは不審と感じるメールやメッセージに添付されたファイルをダウンロードしたり開いたりしないようにしましょう。リンク先がフィッシングサイトであったり、マルウェアをダウンロードしてしまう可能性があります。特定のリンクをクリックするよう指示がある場合は、一度、リンク上にカーソルを合わせてリンク先のURLを確認しましょう。
■利用するソフトウェアおよびアプリケーションを定期的にアップデートして脆弱性に対する最新のパッチを適用しましょう。
■システムに、脅威をブロックして防御可能なセキュリティソリューションを適用しましょう。
サイバー攻撃は日々変化を続けています。個人や組織にかかわらず、一人ひとりが脅威に対して対策を講じることが重要です。セキュリティ対策製品の活用と、修正プログラムの速やかな適用、そして手口を知っておくことはリスク回避につながります。添付ファイルやリンクを含むメールには十分注意を払い、ソフトやアプリは必ず公式サイトからダウンロードするようにしましょう!
