セキュリティ運用

ランサムウェア脅威インテリジェンスセンター: 2018 年~現在までのランサムウェア情報を整理して一挙公開

2018 年から現在までに、新しく発生または流行したランサムウェアに関連する、ソフォスの脅威リサーチの記事とセキュリティ運用レポートをまとめました。

** 本記事は、The Ransomware Threat Intelligence Center の翻訳です。最新の情報は英語記事をご覧ください。**

はじめに

ランサムウェアの情勢は複雑であり、多くの新しいランサムウェアが登場し急速に進化しています。新しく名前を変えただけのランサムウェアグループが絶えず現れては消えており、グループの背後にいるオペレーターは、互いの攻撃ツールやプレイブック、さらにはインフラストラクチャを共有したり、レンタルしたり、盗んだり、コピーしたりしながら悪用しています。

ソフォスは長年にわたり、ランサムウェアの動向を監視してレポートしており、優れた分析によって知見を提供し、ライブラリを構築してきました。ランサムウェア脅威インテリジェンスセンターは、2018 年から現在までにソフォスが発表した、流行しているランサムウェアの脅威、新しいランサムウェアの脅威、そのツール、手法、行動に関する最も重要なリサーチ記事およびレポートを厳選してまとめました。新しい資料を入手でき次第、記事内容は定期的に更新される予定です。

セキュリティのベストプラクティスに関するアドバイスや「ランサムウェアの現状」レポートの最新版を、ランサムウェアに関する詳細な情報は、ソフォスが公開しているランサムウェアを阻止するための資料をご覧ください。

2018 年〜2022 年: ランサムウェアの流行グループと新グループに関するソフォスのリサーチとレポート

Astro Locker

Sophos MTR 速報: Astro Locker Team とは?

2021 年 3 月 31 日 – ソフォスのインシデントレスポンス調査により、Astro Locker と Mount Locker ランサムウェアの類似点が発見されました。

Avos Locker

セーフモードを悪用する Avos Locker ランサムウェア攻撃が急増

2021 年 12 月 22 日 – ソフォスは、比較的新しいサービスとしてのランサムウェア (RaaS) である Avos Locker が、ランサムウェアを実行するために標的のコンピュータをセーフモードで起動し、セキュリティソフトウェアを無効にしようとした手法について報告しました。

Atom Silo

ランサムウェア組織 Atom Silo、侵入に Confluence の脆弱性を悪用

2021 年 10 月 4 日 – ソフォスは、比較的新しいランサムウェアグループ Atom Silo が、アトラシアン社のコラボレーションソフトウェア Confluence の新しい脆弱性を利用し、エンドポイント保護ソフトウェアを妨害しようとする攻撃について報告しています。また、Confluence の脆弱性はクリプトマイナーにも悪用されていました。

Avaddon

ランサムウェア「Avaddon」攻撃による影響と対策

2021 年 5 月 24 日 – 特定のランサムウェアファミリーを含む攻撃の影響を受けている、IT 管理者を支援するために作成された記事シリーズの一部です。

Black Kingdom

Exchange Server を標的とする Black Kingdom ランサムウェア

2021 年 3 月 23 日 – ソフォスは、ProxyLogon エクスプロイトを防止するためのパッチが適用されていない Microsoft Exchange Server を標的とする、新しいものの従来型の機能を実装したランサムウェアについて報告しました。

BlackMatter

DarkSide 閉鎖の穴を埋める新たなランサムウェア「BlackMatter」

2021 年 8 月 9 日 – BlackMatter と名乗り、REvil、DarkSide、LockBit 2.0 のツールや技術を採用した新しい RaaS について、ソフォスは報告しました。

Conti

ソフォスは、Conti の RaaS (サービスとしてのランサムウェア) が広く利用している状況について報告しています。ロシア・ウクライナ戦争を受けて、ロシアを拠点とする Conti グループ内部のコミュニケーション、ソースコードなどが次々とリークされました。今後セキュリティ研究者は、注意すべきこの脅威の進化を引き続き追跡していくことになるでしょう。

Conti ランサムウェアに関するソフォスの分析・洞察は以下の通りです。

Conti ランサムウェア攻撃への心構えと対策

2021 年 2 月 16 日 – 特定のランサムウェアファミリーを含む攻撃の影響を受けている、IT 管理者を支援するために作成された記事シリーズの一部です。

検出回避に長けた Conti ランサムウェア

2021 年 2 月 16 日 – ソフォスは、Conti ランサムウェアを広める攻撃者が、完全にファイルレスな攻撃方法にギアを切り替えたことを報告しました。

タイムラインで見る Conti ランサムウェア攻撃

2021 年 2 月 16 日 – ソフォスは、Conti ランサムウェアのインシデントの展開について報告しました。

Conti アフィリエイトによるランサムウェア攻撃で ProxyShell Exchange の使用が確認される

2021 年 9 月 3 日 – ソフォスは、ProxyShell エクスプロイトを使用した Conti ランサムウェア攻撃に関する調査について報告しました。

ProxyShell エクスプロイト経由で Conti と Karma が医療機関を同時攻撃

2022 年 3 月 2 日 – ソフォスは、Karma と Conti の両方のランサムウェアオペレーターが、同時に医療機関のネットワークに侵入するという珍しい二重のランサムウェア攻撃について報告しました。

Cring

古い Adobe ColdFusion の脆弱性を悪用するCring ランサムウェア

2021 年 9 月 21 日 – ソフォスは、未知の攻撃者が 11 年前にインストールされた Adobe ColdFusion 9 の脆弱性を悪用し、Cring ランサムウェアを展開したことを報告しています。

DearCry

Exchange Server の脆弱性を悪用する DearCry ランサムウェア

2021 年 3 月 15 日 – ソフォスは、悪名高い WannaCry ランサムウェアを模倣した、シンプルで「初心者向け」のランサムウェアである DearCry について報告しています。

Dharma

誰でも容易に攻撃に参加できる RaaS 攻撃「Dharma」の詳細

2020 年 8 月 12 日 – ソフォスは、中小企業をターゲットとし、アフィリエイトに段階ごとの詳細な攻撃スクリプトを提供する Dharma RaaS について報告しました。

DarkSide

防御側から見た DarkSide ランサムウェア攻撃

2021 年 5 月 11 日 – ソフォスはランサムウェアグループ「DarkSide」の攻撃手法について詳細な分析を行いました。

Egregor

Maze ランサムウェアの亜種とみられる Egregor の攻撃が増加

2020 年 12 月 8 日 – ソフォスは、閉鎖した Maze の後を引き継いだと思われる、Sekhmet ランサムウェアの新しい亜種について報告しています。

Entropy

Dridex ボットで拡散されるランサムウェア「Entropy」

2022 年 2 月 23 日 – ソフォスは、Entropy ランサムウェアで使用されているコードが、Dridex マルウェアで使用されているコードと類似しており、起源が共通している可能性があると報告しています。

Epsilon Red

機能を最小限に絞った新たなランサムウェア「Epsilon Red」

2021 年 5 月 28 日 – ソフォスは、機能のほとんどを PowerShell スクリプトにオフロードする、シンプルで新しいランサムウェアについて報告しています。

GandCrab

GandCrab の基本:現在最も広く配信されているランサムウェアについて知っておくべきこと

2019 年 3 月 5 日 – 2019 年に広く拡散したランサムウェアを深く分析した結果を報告しました。

MySQL サーバーを直接攻撃するランサムウェア「GandCrab」

2019 年 5 月 24 日 – GandCrab ランサムウェアを用いて、インターネットに接続された Windows データベースサーバーを攻撃する未知の攻撃者について、ソフォスは報告しました。

Karma

ProxyShell エクスプロイト経由で Conti と Karma が医療機関を同時攻撃

2022 年 3 月 2 日 – ソフォスは、Karma と Conti の両方のランサムウェアオペレーターが、同時にヘルスケア事業者のネットワークに侵入するという珍しい二重のランサムウェア攻撃について報告しました。

LockBit

REvil と Maze の攻撃手法を模倣する LockBit ランサムウェア

2020 年 4 月 24 日 – LockBit が他の有名なランサムウェアグループの攻撃手法や行動をどのように実装しているかについて、ソフォスは報告しました。

価値の高いターゲットを特定するために自動攻撃ツールを用いる LockBit ランサムウェア

2021 年 10 月 21 日 – ソフォスは、LockBit ランサムウェアのオペレーターが、PowerShell のコピーやその他の自動化ツールを使用して、貴重なデータがあるシステムを検索する方法について報告しています。

LockFile

LockFile ランサムウェアの攻撃手法: 断続的な暗号化と検出回避

2021 年 8 月 27 日 – ソフォスは、ProxyShell を活用し、ランサムウェア対策ツールによる検出を回避するためにファイルを断続的に暗号化する新しいランサムウェアファミリーを発見しました。

Matrix

攻撃範囲が限定されている標的型ランサムウェア「Matrix」

2019 年 1 月 30 日 – ソフォスは、脆弱なリモートデスクトップを利用してネットワークに侵入し、標的を混乱させて攻撃を仕掛ける Matrix ランサムウェアについて報告しました。

Maze

1 年間被害者を恐喝し続けた Maze ランサムウェア

2020 年 5 月 12 日 – ソフォスは、Maze ランサムウェアのオペレーターが、身代金要求の支払いを被害者に強要する方法として、データの窃取を利用した最初のランサムウェアの 1 つであることを報告しました。

「Ragnar Locker」による仮想マシンの手法を導入した Maze ランサムウェア

2020 年 9 月 17 日 – ソフォスは、Maze のオペレーターが、ランサムウェアの展開に何度か失敗した後、Ragnar Locker の厄介なランサムウェア配信手法を採用したことを報告しました。

MTR 事例紹介:1,500 万ドルを要求するランサムウェア攻撃を阻止

2020 年 9 月 22 日 – Maze による大規模なランサムウェア攻撃の展開をその進行を日単位で解説しています。

MegaCortex

唯一無二の存在を目指す MegaCortex ランサムウェア

2019 年 5 月 3 日 – ソフォスは、自動化されたコンポーネントと手動化されたコンポーネントの両方を活用する、新しい洗練されたランサムウェアグループについて報告しました。

「MegaCortex」ランサムウェアの分析:分析が進むにつれ謎が深まる

2019 年 5 月 10 日 – MegaCortex ランサムウェアのツール、手法、検出回避の戦術に関する、新たな情報を含む調査記事の続報を掲載しました。

Memento

パスワードで保護されたアーカイブを利用して暗号化対策を回避するランサムウェア攻撃集団「Memento Team」

2021 年 11 月 18 日 – ソフォスは、標的システムのデータを暗号化できない場合にパスワードで保護されたアーカイブによってファイルをコピーする、新しいランサムウェアグループ「Memento」に関するインシデントについて報告しました。

Midas

Midas ランサムウェア攻撃の下地として悪用される Windows サービス

2022 年 1 月 25 日 – ソフォスは、脆弱なリモートアクセスサービスと PowerShell スクリプトを広く使用するランサムウェア攻撃について報告しています。

Nefilim

「幽霊」アカウントをハッキングする Nefilim ランサムウェア攻撃

2021 年 1 月 26 日 – ソフォスは、退職した従業員のアカウント情報を使用して、攻撃者がターゲットにアクセスするインシデントについて報告しました。

Netwalker

Netwalker ランサムウェアツールから見えてくる攻撃者の正体

2020 年 5 月 27 日 – ソフォスは、大量のマルウェアと関連ファイルを発見した、Netwalker が使用した TTP (戦術、手法、手順) について詳しく説明しています。

ProLock

最初の 8 キロバイト分の復号を無料で提供する「ProLock」ランサムウェア

2020 年 7 月 27 日 – ソフォスは、この新しいランサムウェアの攻撃チェーンと TTP (戦術、手法、手順) について報告しています。

Python

ESXi サーバーを暗号化する Python ランサムウェアスクリプト

2021 年 10 月 5 日 – ソフォスは、仮想マシンのハイパーバイザー上で不正な Python スクリプトが仮装ディスクを暗号化し、標的組織全体の仮想マシンを無効化する、これまで見た中で最も素早く攻撃するランサムウェアの 1 つを報告しました。

RagnarLocker

セキュリティ回避のために仮想マシンを展開する「Ragnar Locker」ランサムウェア

2020 年 5 月 21 日 – ソフォスは、攻撃者がランサムウェアを視界から隠すために、標的となる各デバイス上に完全な仮想マシンを展開したインシデントについて報告しました。

Ragnarok

Asnarök の攻撃者が 2 度にわたって攻撃を途中修正

2021 年 5 月 21 日 – Sophos は、Asnarok の攻撃者がパッチ未適用のファイアウォールを介して、Ragnarok ランサムウェアを展開しようとした様子を報告しました。

REvil

攻撃者ごとに使い方が異なる RaaS「REvil」

2021 年 6 月 11 日 – ソフォスは、REvil RaaS のアフィリエイトの間で見られる、さまざまな TTP (戦術、手法、手順) を詳しく説明しています。

ランサムウェア 「REvil」攻撃による影響と対策

2021 年 6 月 30 日 – 特定のランサムウェアファミリーを含む攻撃の影響を受けている、IT 管理者を支援するために作成された記事シリーズの一部です。

独立記念日を狙って Kaseya のアップデートシステムを悪用し、数百社を攻撃したランサムウェア

2021 年 7 月 4 日 – ソフォスは、REvil のアフィリエイトが、Kaseya の VSA リモート管理サービスを攻撃する悪意のあるアップデートを使用し、暗号化と恐喝の両方を実行した攻撃について詳しく説明しました。

RobbinHood

環境寄生型ランサムウェア:攻撃先にある脆弱なドライバを利用してセキュリティソフトを削除する「RobbinHood」ランサムウェア

2020 年 2 月 6 日 – RobbinHood ランサムウェアを展開する前に、標的のコンピュータからセキュリティ製品を削除するために、正規のデジタル署名付きハードウェアドライバを展開する攻撃について、ソフォスは報告しました。

Ryuk

進化した Ryuk ランサムウェア攻撃の分析

2020 年 10 月 14 日 – ソフォスは、セキュリティを侵害させランサムウェアを展開するためのツールを進化させた、Ryuk が復活したことを報告しました。

Sophos MTR 速報: 海賊版ソフトウェアが引き金となった Ryuk ランサムウェア攻撃

2021 年 5 月 6 日 – ソフォスは、海賊版ソフトウェアプログラムをダウンロードしたことで、攻撃者が研究機関のネットワークに侵入し、Ryuk ランサムウェアを展開したインシデントについて報告しました。

SamSam

ソフォス、ランサムウェア「SamSam」に関するレポートを公開

2018 年 7 月 31 日 – ソフォスは SamSam ランサムウェアに関する分析結果を公開しました。

SamSam ランサムウェアのような攻撃が起こる仕組みと対策

2018 年 11 月 29 日 – ソフォス、SamSam ランサムウェアの典型的な攻撃とその対策について詳しく説明しました。

Snatch

保護回避のために PC をセーフモードで再起動する Snatch ランサムウェア、

2019 年 12 月 9 日 – ソフォスは、攻撃の途中で Windows マシンを再起動することでセキュリティ保護を無効にする、データ窃取とランサムウェアの展開の両方を行う新しい脅威について報告しました。

WannaCry

WannaCry ランサムウェアの影響が続く

2019 年 9 月 16 日 – ソフォスは、WannaCry ランサムウェアの発生から 2 年以上経った今でも、改変された WannaCry の亜種が IT 管理者とセキュリティアナリストを悩ませていることについて報告しました。

WastedLocker

他のランサムウェアの手法を模倣する「WastedLocker」ランサムウェア

2020 年 8 月 4 日 – ソフォスは、WastedLocker ランサムウェアがほとんどの操作をメモリ内で実行して検知を回避する手法など、Bitpaymer ランサムウェアと共通の特徴を有していることを報告しました。

追加資料

レポートと分析のまとめ

ランサムウェアの攻撃手法: 最も一般的で持続的なランサムウェアファミリーについて、防御側の組織が知っておくべきこと

アクティブアドバーサリープレイブック 2021

ソフォス脅威レポート 2019 年版

ソフォス脅威レポート 2020 年版

ソフォス脅威レポート 2021 年版

ソフォス脅威レポート 2022 年版

ランサムウェアに関する知見・注意勧告のための記事

最も有害なランサムウェアはどのように IT セキュリティを回避するのか

ランサムウェアの実態: 攻撃が進行していることを示唆する5つの指標

ランサムウェアの実態: 2020 年、恐喝型攻撃が巧妙化

ランサムウェアの実態: ランサムウェアが一過性のブームで終わらない理由

ランサムウェアの実態: 被害者の視点から見たランサムウェアの実態

ランサムウェアの実態: セキュリティ機能を回避するためのさまざまな手法

ランサムウェアの縄張り争い: その勝者と敗者

ランサムウェア被害者に身代金を支払わせる 10 の方法

ランサムウェア攻撃者が犯した数々のミス

コメントを残す

Your email address will not be published.