<動画紹介>WannaCryの感染(横展開の様子) | 技術者ブログ | 三井物産セキュアディレクション株式会社本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。 Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。 なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
音声で脅迫するランサムウェア「Mazeランサムウェア」の内部構造を紐解く | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
7月中旬、Mazeランサムウェアの被害を受けたと思われる日本国内の企業のデータが攻撃者のWebサイトで公開されたことが一部で話題になりました。 Mazeランサムウェアは過去にChaChaランサムウェア(暗号アルゴリズムのChaChaを使用することからの由来)と呼ばれていたランサムウェアの亜種であり、2019年5月に初めて存在が確認され、感染経路としてはこれまでにスパムメールへの添付や脆弱性の利用、ネットワーク侵入などの経路が確認されています。 Mazeランサムウェアを操る攻撃者の大きな特徴は、ランサムウェアによって暗号化を行う前にすでに被害者端末からデータを盗み出しており、身代金支払いの要求に応じない場合はそれらの窃取データを実際に公開するという点です。最近はMaze以外の他のランサムウェアを用いた攻撃においてもこの流れが見られており、ランサムウェア感染と情報流出の2点は切り離せないものと
標的型攻撃ランサムウェア「MegaCortex」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
はじめに MegaCortexは2019年5月に発見された比較的新しい標的型攻撃ランサムウェアであり、一部ではEmotet、Qakbot(Qbot)に感染した端末からMegaCortexの感染がみられるケースもあると報告されています。最近再び活発になっているEmotetは元々ダウンローダーの性質もあるため、Emotetの感染後にMegaCortexなどのランサムウェアがダウンロードされ多重感染する可能性は十分有り得ます。また、最近のMegaCortex感染事例ではハッキングで侵入した攻撃者のPsExecを用いたリモート実行による感染とみられるケースもあるようです。 MegaCortexは、OSの正規プログラムで実現できる挙動は極力それら正規プログラムに任せることで一般的なセキュリティ対策製品が誤検知を恐れる領域にフィールドを移そうとする動きがあります。ファイルの暗号化の最後には、フォレンジ
標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
2019年末現在、Emotetによる被害が国内で収まる気配がありませんが、昨年のブログ記事でも言及したように、Emotetはメール情報を窃取するだけでなく、他のマルウェアを呼び寄せるダウンローダーの性質を持つことが特徴の一つです。海外ではすでに以前よりEmotetからTrickBot等、他のマルウェアがダウンロードされているケースが報告されていますが、最近になり、Emotetから最終的に「Ryuk」という標的型攻撃ランサムウェアの感染に繋がるという事例が海外で複数確認されています。つまり、場合によっては日本国内でもいずれRyukの感染被害が明るみに出てくる可能性が今後想定出来なくはありません。 そこで本記事では、標的型攻撃ランサムウェア「Ryuk」についてその詳細を解説します。 ■Ryukとは 2018年夏頃に初めて存在が確認された「Ryuk」という標的型ランサムウェアは、これまで海外で多
LockerGogaの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
■はじめに LockerGogaは比較的新しいランサムウェアですが、世界では限定的ないくつかの大企業に対する標的型攻撃で使用され、一回限りの攻撃のために毎回カスタマイズされていると考えられており、攻撃の数に合わせて複数の亜種が確認されています。 LockerGogaが大きく注目を集めることになったのは、2019年初頭のフランスの事件が始まりですが、その事件に関与しているとされる検体はルーマニアからVirusTotalにアップロードされていました。それと関連するLockerGogaの興味深い話として、ランサムウェアの名前の「Goga」がルーマニア人における姓として使われているケースがあることや、この検体の最初のアップロード国も加味すると、「LockerGoga」というランサムウェア自体がルーマニアに由来するものであるとみる見解も一部あるようです。 LockerGogaに関する解析記事はすでに
流行マルウェア「EMOTET」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
EMOTETというマルウェアは2014年にはじめて確認されて以来、様々な変化を遂げてきました。当初はオンライン銀行の認証情報窃取を主な目的としたオンラインバンキングマルウェアとして認知されていましたが、その後、様々な変更が加えられ、現在においては2014年出現当時とは全く異なる挙動や目的を持ったマルウェアとなっています。 2018年末現在、EMOTETは世界中で積極的に拡散され被害拡大が懸念されており、日本国内も例外ではなく、様々な企業へEMOTETの感染を狙った不正メールが届いている状況にあります。 そうした状況にもかかわらず、少なくとも国内においては、今のところ現在のEMOTETに関する感染から挙動に至るまでのまとまった情報が見当たりません。 そのため、今年11月~12月に実際の国内企業への攻撃で使用されたEMOTETの不正メールを元に、我々が調査した結果と現在のEMOTETの全体像を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
