ランサムウェア「Ryuk」にワーム化した新亜種
ランサムウェア「Ryuk」にあらたな亜種が確認された。ネットワーク内で自己拡散する機能を備えており、セキュリティ機関では警戒を強めている。
フランスの国家情報システムセキュリティ庁(ANSSI)が報告書で明らかにしたもの。2021年初頭に同庁がインシデント対応した際に発見した。不特定のオープンソースソフトにバックドアとして仕込まれ、リコンパイルされて拡散していると見られる。
同ランサムウェアは2019年10月以降、「Wake-on-LAN」パケットにより電源がオフになっている端末を起動して攻撃を展開する特徴が見られたが、今回報告されたあらたな亜種では、さらにWindowsドメイン内で自己複製する機能が追加されていた。
感染端末より「ARPキャッシュ」を取得してローカルネットワークのIPアドレスをリストアップ。RPCによりアクセスが可能なマシンに自己複製し、リモートから実行する。
マルウェアの感染拡大には、ドメインの特権アカウントが悪用されるが、パスワードを変更しても「Kerberosチケット」が有効な限り感染を継続。「Mutex」など用いて重複感染を防ぐ機能も備えておらず、同じ端末が何度も繰り返して感染し、復旧を困難にするおそれがあるという。
(Security NEXT - 2021/03/05 )
ツイート
PR
関連記事
欧米捜査機関、高級車乗り回すランサム関係者2人を逮捕 - 暗号資産も凍結
攻撃者狙う脆弱な「VPN」、導入や堅牢化のガイダンスを米政府が公開
ランサムウェア「REvil」の無償復号ツールが公開
Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
医療機器販売の八神製作所、サーバがランサム被害
警察庁、2021年上半期に61件のランサム被害把握 - 目立つVPN経由の感染
VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起
建設コンサルのランサム被害 - あらたに2県が事態公表
建設コンサルのランサム被害 - 都では4局より業務を委託
ランサムで業務データが暗号化、外部流出の可能性も - 水産加工会社
