ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、Undergroundランサムウェアを紹介します。
Underground ランサムウェアの特徴
Undergroundランサムウェアは、2023年7月初旬に一般公開されているファイルスキャンサイトで初めて観測されました。同年7月13日には、このランサムウェアを運用するグループのデータ流出サイトに、最初の被害が公開されています。UndergroundランサムウェアのターゲットはWindowsデバイスで、他の一般的なランサムウェアと同様、ファイルを暗号化した上でそれらを復号するための身代金を要求するランサムノート(身代金メモ)を残します。
オンライン上の情報によれば、Undergroundランサムウェアを運用しているのは、ロシアを拠点とする「Storm-0978」というグループと推測されています。このグループは「RomCom」と呼ばれるリモートアクセス型のトロイの木馬を開発・配布しており、自身もこのマルウェアを使用していることから、RomComグループとも呼ばれています。
また、このグループは、マイクロソフト製品の脆弱性(CVE-2023-36884)を悪用することでも知られています。これは、Microsoft OfficeとWindows HTMLの脆弱性であり、2023年7月11日にMicrosoftが公表し、Fortinetもほぼ同時期に「アウトプレイクアラート」で、その危険性を警告しています。この脆弱性に対するパッチは、2023年8月の月例セキュリティ更新プログラムで提供されています。
Storm-0978によるサイバー攻撃は主に、改変した正規ソフトウェアを通じて組織に侵入し、前述のRomComをシステムにインストールして、バックドア(攻撃者が侵入やデータ流出に使用する裏口)を作成するところから始まります。
CVE-2023-36884が発見されてからは、この脆弱性を悪用してバックドアを作る、という攻撃も行われていることが判明しています。Microsoftが公開したブログには、欧米の防衛関連組織や政府組織に対して、Storm-0978がこの脆弱性を悪用した攻撃を仕掛けた、と記述されています。なおこのグループはサイバー犯罪に加え、スパイ活動も行っていると指摘されています。
Undergroundランサムウェアの感染後の挙動
この記事に関連するニュース
-
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ITmedia エンタープライズ / 2024年10月22日 7時15分
-
チェック・ポイント・リサーチ、2024年9月に最も活発だったマルウェアを発表 RansomHubが猛威を振るい続ける一方、AIを活用したマルウェアが増加中
PR TIMES / 2024年10月21日 15時45分
-
フォーティネット、日本におけるサイバー脅威の最新動向を説明
マイナビニュース / 2024年10月18日 15時21分
-
『内部データの搾取と侵害、二重脅迫型ランサムウェアへの根源的な対応策とは?』というテーマのウェビナーを開催
PR TIMES / 2024年10月4日 11時15分
-
ランサムウェア攻撃が疑われる際のWindowsイベントログの特徴 - JPCERT/CC
マイナビニュース / 2024年9月30日 9時41分
ランキング
-
1大型新人VTuber結城さくな、初配信300万回視聴超え
ASCII.jp / 2024年10月28日 13時5分
-
2ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
-
3これはちょうどいいSSDだ! 容量2TBの「FireCuda 530R」を試して分かったこと
ITmedia PC USER / 2024年10月28日 14時0分
-
4「青春18きっぷ」元に戻すよう求めるネット署名、1万件超え
ASCII.jp / 2024年10月28日 15時0分
-
5「どうぶつの森 ポケットキャンプ」終了→買い切り版へ サービス引き継ぎに「完璧すぎる」称賛の声
J-CASTニュース / 2024年10月28日 14時10分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください