ランサムウェア「Ryuk」にワーム化した新亜種

ランサムウェア「Ryuk」にあらたな亜種が確認された。ネットワーク内で自己拡散する機能を備えており、セキュリティ機関では警戒を強めている。

フランスの国家情報システムセキュリティ庁（ANSSI）が報告書で明らかにしたもの。2021年初頭に同庁がインシデント対応した際に発見した。不特定のオープンソースソフトにバックドアとして仕込まれ、リコンパイルされて拡散していると見られる。

同ランサムウェアは2019年10月以降、「Wake-on-LAN」パケットにより電源がオフになっている端末を起動して攻撃を展開する特徴が見られたが、今回報告されたあらたな亜種では、さらにWindowsドメイン内で自己複製する機能が追加されていた。

感染端末より「ARPキャッシュ」を取得してローカルネットワークのIPアドレスをリストアップ。RPCによりアクセスが可能なマシンに自己複製し、リモートから実行する。

マルウェアの感染拡大には、ドメインの特権アカウントが悪用されるが、パスワードを変更しても「Kerberosチケット」が有効な限り感染を継続。「Mutex」など用いて重複感染を防ぐ機能も備えておらず、同じ端末が何度も繰り返して感染し、復旧を困難にするおそれがあるという。

（Security NEXT - 2021/03/05 ） ツイート

PR

関連記事

ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
「情報セキュリティ白書2025」PDF版を先行公開 - 書籍は9月30日発売
ランサム被害が発生、製品出荷などに影響 - 業務用加湿器メーカー
ランサム被害で出荷停止、2日後より順次再開 - オオサキメディカル
ランサム攻撃でサーバやPC30台が被害 - 清掃用品メーカー
教員VPNアカウント悪用され侵入、不審検索履歴から発見 - 芝工大
サーバがランサム感染、情報流出は調査中 - ソフトウェア開発会社
ファイルサーバがランサム被害、データが暗号化 - 青果流通会社
ランサム攻撃、リモートアクセス機器経由で侵入 - サンリオ関連会社