Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサムウェア「Ryuk」にワーム化した新亜種

ランサムウェア「Ryuk」にあらたな亜種が確認された。ネットワーク内で自己拡散する機能を備えており、セキュリティ機関では警戒を強めている。

フランスの国家情報システムセキュリティ庁(ANSSI)が報告書で明らかにしたもの。2021年初頭に同庁がインシデント対応した際に発見した。不特定のオープンソースソフトにバックドアとして仕込まれ、リコンパイルされて拡散していると見られる。

同ランサムウェアは2019年10月以降、「Wake-on-LAN」パケットにより電源がオフになっている端末を起動して攻撃を展開する特徴が見られたが、今回報告されたあらたな亜種では、さらにWindowsドメイン内で自己複製する機能が追加されていた。

感染端末より「ARPキャッシュ」を取得してローカルネットワークのIPアドレスをリストアップ。RPCによりアクセスが可能なマシンに自己複製し、リモートから実行する。

マルウェアの感染拡大には、ドメインの特権アカウントが悪用されるが、パスワードを変更しても「Kerberosチケット」が有効な限り感染を継続。「Mutex」など用いて重複感染を防ぐ機能も備えておらず、同じ端末が何度も繰り返して感染し、復旧を困難にするおそれがあるという。

(Security NEXT - 2021/03/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

「サイバーセキュリティ月間」がスタート - 日米豪印による連携も
欧米当局、ランサム「Hive」を解体 - 捜査官が攻撃インフラに侵入
多数システムでランサム被害、復旧や事業継続に追われる - ならコープ
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
「情報セキュリティ10大脅威 2023」 - 組織は「ランサム」が引き続き首位
ベトナム拠点経由で攻撃、複数子会社とともにランサム被害 - タカミヤ
2022年のサイバー攻撃、前年比38%増 - 教育分野への攻撃増加
サイバー攻撃やセキュリティ対策の体験施設 - 日本情報通信
取材や講演会依頼装う標的型攻撃 - 「コロナで中止」とつじつま合わせ
米政府、「OWASSRF」など悪用脆弱性2件について注意喚起