執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに

攻撃が発生する頻度は1日あたり1回程度と少ないものの、攻撃を受けた被害者の4分の1が、何かしらの身代金を支払っていると分析。7月19日までに支払った被害者は233件に及ぶと見ている。

攻撃方法を見ると、「JBossアプリケーションサーバ」における脆弱性の悪用のほか、最近では「リモートデスクトッププロトコル（RDP）」のパスワードに対する総当たり攻撃などを通じて標的とするネットワークに侵入。ただし、標的をどのように選定しているかは明らかになっていないという。

侵入後もドメイン管理者の権限を掌握するまで潜伏。攻撃者は時間をかけて戦術を練り、成功するまで次々とさまざまなアプローチを試行。認証情報を窃取する「Mimikatz」なども使用していた。

ドメイン管理者権限の取得に成功すると、正規ツールなどを活用してネットワーク内部を調査。「PsExec」や「PaExec」などを活用しつつ、「SamSam」を拡散。各マシンで潜伏し、最大限のダメージを与えるため、従業員や管理者がいない深夜や早朝を狙って一斉に発症させるという。

（Security NEXT - 2018/08/22 ） ツイート

PR

関連記事

個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
先週注目された記事（2024年3月3日〜2024年3月9日）
先週の注目記事（2024年2月25日〜2024年3月2日）
ランサムウェア「ALPHV」、医療分野中心に被害拡大
経営者が想定すべきインシデント発生時のダメージ - JNSA調査