私たちについて 無料トライアルを始める お問い合わせ
日本語
English Deutsch Français 日本語 Español Svenska 中文

現在および今後のランサムウェア攻撃に注目

Archana Mahtani

Published on 01 May 2023

ランサムウェア攻撃

Coveware の新しい調査によると、ランサムウェアの脅威に屈すると、ランサムウェア攻撃が増え、攻撃がより複雑になる可能性があることがわかりました。

月曜日に発表された調査によると、セキュリティ会社は、今年の第1四半期に身代金の平均および中央値が増加し、一部のランサムウェアグループは稼いだお金を使って組織に侵入するより優れた方法を購入しているようだと述べた。第1四半期、Covewareは偽メールの減少とソフトウェアの脆弱性の悪用の増加を確認した。調査によると、最も一般的なエクスプロイトは、フォーティネットとパルスセキュアVPN製品の既知の欠陥だった。

全体として、ランサムウェア攻撃の平均金額は、2020年第4四半期の154,108ドルから2021年第1四半期の220,298ドルへと43%増加しました。第1四半期には、平均金額が50%以上増加して78,398ドルになりました。

調査によると、Sodinokobi、Conti V2、Lockbit などの多くの脅威グループが平均値と中央値を押し上げたという。しかし、特に Clop ランサムウェアは第 1 四半期に非常に活発に活動し、非常に高額な支払い要求で多くの人を襲った。

Coveware は、こうした要求に応じると、人々に誤った安心感を与え、予期せぬ影響を招き、将来の義務を生み出すことになると述べた。

では、これは何を意味するのでしょうか? 現在および今後注意すべきランサムウェア攻撃とは何でしょうか? 詳細については、このホワイトペーパーをご覧ください。

WannaCry と DearCry とは何かを理解する

ランサムウェア: Win32/DoejoCrypt.A (別名「DearCry」) は、オンプレミス バージョンの Microsoft Exchange Server の複数のゼロデイ脆弱性を介して複数の組織に感染した新しいランサムウェア ファミリです。これらの脆弱性は、中国の国家グループを含むさまざまな脅威アクターによって最初に組織を攻撃するために使用されました。

DearCry の最初の報告は、火曜日に Michael Gillespie 氏から寄せられました。同氏は、無料のサイバーセキュリティ ランサムウェア追跡サービス ID Ransomware の作者です。同氏は木曜日、Exchange サーバーから ID Ransomware システムに「DEARCRY!」ファイル マークが付いた新しいバージョンが送信されているとツイートしました。

ギレスピー氏は、IDランサムウェアは木曜日の時点で、米国、カナダ、オーストラリアの6つのIPアドレスからDearCryの報告を受けていると述べた。IDランサムウェアに協力するセキュリティ研究者のグループであるMalwareHunterTeamは、オーストリアとデンマークの被害に遭った人々からも連絡があったとツイートした。

BleepingComputer は木曜日の夜にサイバーセキュリティ ランサムウェアに関するレポートを発表しました。ランサムウェア攻撃レポートでは、このランサムウェアが Microsoft Exchange Server の欠陥と関連付けられており、その中で最も危険なのは ProxyLogon です。その日の夕方遅く、Microsoft Security Intelligence は DearCry に対する最初の明確な回答となるツイートを発信しました。

Megaのパスワードを変更することでBlack Kingdomマルウェアを駆除

最近の Microsoft Exchange サーバーに対する ProxyLogon 攻撃で、Black Kingdom ランサムウェアが発見されました。パスワードを変更するだけで、少なくとも一時的には阻止できました。Emsisoft のセキュリティ研究者 Brett Callow 氏は、SearchSecurity に対し、Black Kingdom は暗号化キーを作成し、クラウド ストレージ サイト Mega に送信したと述べています。ただし、ランサムウェア攻撃が Mega に到達できない場合は、代わりに静的なローカル キーを使用する、と同氏は述べています。最近の攻撃では、Black Kingdom は狙ったコンピューターを保護できなかったようで、代わりに静的キーを使用したケースもありました。

「誰かがMegaアカウントのパスワードを変更したため、ランサムウェアはアクセスできず、ハードコードされたキーを使用する状態に戻った」とキャロウ氏は語った。「ハードコードされたキーを持っているので、人々がデータを回復するのを手助けできるかもしれない。」

パスワードがいつ変更されたかは不明だが、キャロウ氏は月曜日の朝にSearchSecurityにその旨を伝えた。SearchSecurityは、Black Kingdomの脅威の担い手がランサムウェア攻撃が停止されたことを知らないように、すぐには情報を投稿しないことに決めた。

ソフォスの次世代技術エンジニアリング責任者、マーク・ローマン氏は火曜日、サイバーセキュリティランサムウェアに関するブログ記事を投稿した。その中で同氏は、ランサムウェアがMegaでどのように機能するかについて語った。ローマン氏はSearchSecurityに対し、ランサムウェアは静的キーで復号化して保護できると語った。また、同氏は、このソフトウェアがMegaに接続できないことは確かだとも述べた。

Tech Target のホワイトペーパーをダウンロードして、Whitepapers Online でのみ公開されている「現在のランサムウェアの脅威と新たなランサムウェアの脅威に関するスポットライト」の詳細をご覧ください。

Icon
THANK YOU

You will receive an email with a download link. To access the link, please check your inbox or spam folder