Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に

「Microsoft Exchange Server」に深刻な脆弱性が明らかとなった問題で、脆弱性が解消されていないサーバを侵害してランサムウェア「DearCry」が展開されていることがわかった。

マイクロソフトが、あらたなランサムウェア「Win32/DoejoCrypt.A」を検知したことを明らかにしたもの。ファイルヘッダに「DEARCRY」との文字が埋め込まれていることから、別名「DearCry」と名付けられており、拡張子に「.CRYPT」を追加する特徴が見られる。

「Microsoft Exchange Server」に対し、脆弱性を用いて「Webシェル」を展開、ラテラルムーブメントにより侵害したシステムから認証情報を窃取したのち、攻撃者によって手動で展開されたものとマイクロソフトでは見ている。

MalwareHunterTeamのMichael Gillespie氏は、3月9日ごろより被害報告が寄せられていることをTwitterにて明らかにした。マルウェアを解析したPalo Alto Networksによれば、同ランサムウェアは、特定の拡張子を持つファイルを暗号化しており、対象となる拡張子は少なくとも70種類以上に及ぶという。攻撃者が残す脅迫文に金額や送金先の指定はなく、指定のメールアドレスへ連絡を取るよう求めていた。

またSophosは、同ランサムウェアは暗号化にあたり、バイナリ内に保存された「公開鍵暗号」を利用していると分析。コマンド&コントロールサーバよりキーを取得することなく、暗号化が可能であると指摘している。

マイクロソフトでは、「Microsoft Defender」にランサムウェアの対策を追加。あわせて「Microsoft Exchange Server」のアップデートを呼びかけている。

(Security NEXT - 2021/03/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

スポーツクラブNASのサーバ2台がランサム被害 - 「暗号鍵」特定されて侵入
「Amazonプライムデー」の便乗攻撃に警戒を - わずか1カ月で関連ドメイン2300件が新規登録
「Chrome」にアップデート、ゼロデイ脆弱性を修正
メルマガを誤送信、会員のメアド流出 - 店舗装飾シールショップ
仮想デスクトップがマルウェア感染、メール流出の可能性 - パラマウントベッド
「JETRO」のなりすましメールに注意 - 役員名乗るケースも
放課後児童クラブの関係者宅で児童リストなどが盗難被害
カフェ関連商品を扱う通信販売サイトに不正アクセス
ネットリスクを学べる高校生向けの無償教材
「Azure Defender for IoT」のリモート監視サービスを提供 - 東芝ITサービス