Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサムウェア「Locky」が大規模展開 - 巧妙な検知回避も

端末内のファイルを暗号化し、復号するためのキーを交換条件に金銭を要求するランサムウェア「Locky」が、活発な動きを見せている。あらたな攻撃手法も複数確認されており、引き続き注意が必要だ。

米FireEyeが8月前半に確認した大規模なキャンペーンでは、メールへ添付するファイルとして「.docm」を拡張子に持つマクロを含んだWordファイルを利用していた。

活動国を見ると米国が最多だが、日本が次いで多い。韓国、さらにタイ、シンガポールが続き、上位5カ国中4カ国がアジア圏に集中していた。

一方、添付ファイルにJavaScriptを用いた攻撃も引き続き確認されている。JavaScriptを含むzipファイルを送りつける攻撃だが、検出を回避するあらたな手法をトレンドマイクロが確認している。

問題のJavaScriptは難読化されており、独自のストリーム暗号を用いて外部から「Locky」をダウンロード。ダウンロード元は、スクリプト内に記載された複数のURLからランダムに選択しており、ダウンロードできない場合は他URLを利用するしくみだった。

(Security NEXT - 2016/09/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

QNAP製NAS狙うランサムウェアの被害が拡大傾向 - 利用者は注意を
QNAP、NASのファームウェア更新を呼びかけ - あらたなランサム攻撃を調査中
ランサム攻撃で従業員情報が暗号化、復旧は断念 - 河村電器
WDB HDがランサム被害 - メールやファイルサーバで障害
2021年に観測が多かったマルウェア、大半が5年以上活動 - ランサム感染にも関与
インフラ関係者9割超、サイバー攻撃による産業制御システムの中断を経験
市内小中12校が利用する校務ネットワークがランサム被害 - 南房総市
バンナム複数グループ会社にサイバー攻撃 - 詳細は調査中
北朝鮮支援グループが医療機関にランサム攻撃 - 米政府が注意喚起
名古屋商工会議所にサイバー攻撃 - サーバが暗号化被害