米政府、「SamSam」関係者を起訴 - 攻撃前にダークウェブで資格情報を調達

同ランサムウェアの問題を受け、米国土安全保障省と米国家サイバーセキュリティ通信統合センター（NCCIC）、FBIでは、被害の予防や影響の低減をはかるため、4種類の「SamSam」亜種に関するIOC情報を公開した。

同グループの手法としては、エクスプロイトキット「JexBoss」を利用。「JBossアプリケーションサーバ」の脆弱性を狙うほか、「リモートデスクトッププロトコル（RDP）」におけるブルートフォース攻撃などを展開している。

また「SamSam」による攻撃を展開する前に、RDPの資格情報をダークネット上のブラックマーケットより調達するケースもあった。調達後数時間で攻撃が展開されたことがアクセスログから判明したという。被害者のネットワークにも、資格情報などが窃取された形跡が見られた。

米国土安全保障省では、攻撃に用いられた4種類の亜種を解析し、詳細情報を公開。「STIXファイル」でも提供しており、同ランサムウェアによる被害の予防などに活用するよう呼びかけている。

（Security NEXT - 2018/12/06 ） ツイート

PR

関連記事

メール管理システムがランサムウェア感染 - 神大
脆弱性で感染広げるボットネット「Muhstik」 - 「WebLogic」を標的に
「WebLogic」の脆弱性、ランサムウェアの標的に
世界で68％の企業がサイバー攻撃被害を経験 - 日本は24％
2018年はランサム活動が縮小 - RaaSの「GandCrab」に活発な動き
GWに備えて対策を - 脆弱性や改元対応、BECへの警戒も
個人の半数がデータ消失経験 - 1割はバックアップせず
Androidマルウェア、検知数が 前年比約1.7倍に - 新種ランサムは9分の1
「Coinhive」はマルウェアか - ベンダーの意外な対応
ブラウザの更新通知を偽装する攻撃 - 1700以上の正規サイトに不正スクリプト