米政府、医療分野を標的としたランサムウェアに注意喚起 - DNSで通信して検知回避

米国において、ヘルスケアや公衆衛生分野を標的としたランサムウェアによる攻撃が展開されているとして注意喚起が行われている。

米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、米連邦捜査局（FBI）、米保健福祉省（HHS）が注意喚起を行ったもの。

ヘルスケアなどのセクターを標的に金銭目的で「Ryuk」「Conti」といったランサムウェアを用いた攻撃が展開されており、攻撃対象からデータを窃取したり、サービスを妨害し、金銭などを脅し取られるおそれがある。

ランサムウェアの感染拡大には、「TrickBot」や別名「BazarBackdoor」としても知られる「BazarLoader」などのダウンローダーが使用されていた。あらたなツールや機能など導入しており、攻撃の巧妙化も進んでいる。

FBIでは、2019年初頭より「TrickBot」のモジュール「Anchor」について動向を調べているが、同モジュールに用意されたツールセット「anchor_dns」では、コマンド＆コントロール（C＆C）サーバとの通信にDNSプロトコルを使用。正規のDNS通信にXORによって暗号化した通信を紛れ込ませ、セキュリティ製品による検知を回避していたという。

（Security NEXT - 2020/11/02 ） ツイート

PR

関連記事

33％がPWを使い回し、52％は似たPWを再利用 - F-Secure調査
ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場
ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開
2020年の緊急対応支援、3割強が「Emotet」 - ラック
ソフト開発会社がマルウェア開発か - ソフォスが指摘
「情報セキュリティ10大脅威 2021」が決定 - 研究者が注目した脅威は？
欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも
3月に「JC3 Forum 2021」開催 - サイバー犯罪動向や対応成功事例など紹介
約1.6万人分の個人情報流出を確認、あらたな可能性も - カプコン
JNSAが選ぶ2020年10大ニュース、気になる1位は……