ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
では、Undergroundランサムウェアは、具体的にどのようなふるまいをするのでしょうか。まず、感染して実行が始まると、次のようなことが行われます。
(1)シャドーコピーを削除
シャドーコピーとは、データ復元用のスナップショット(特定時点のバックアップデータ)のことです。これを削除することで、ランサムウェアによって暗号化されたファイルを、被害者自身で復元できない状態にします。シャドーコピーの削除は、最近のランサムウェアでは一般的になっています。
(2)リモートデスクトップサービス(RDS)とターミナルサービスのセッション維持時間を14日間に設定
RDSとターミナルサービスは、いずれも外部からシステムを操作するためのWindows機能です。RDSのセッション維持時間のデフォルトは24時間であり、この時間を過ぎると強制的に切断されます。この時間を14日間に設定することで、攻撃者は長期にわたってターゲットとなるシステムにアクセスできるようになります。
(3)Microsoft SQL Serverのサービスを停止
データベースサーバが稼働している状態では、データベースに関連するファイルがロックされているため、暗号化できません。またデータベースサーバが稼働中であれば、データベースのバックアップを取得し迅速に復元できる可能性もあります。そのためランサムウェアの多くは、暗号化前にSQL Serverなどのデータベースサービスを停止します。
(4)以下のような「!!readme!!!.txt」というランサムノートを残す
(5)ファイルを盗み出したうえで暗号化を実行
多くのランサムウェアは、暗号化したファイルにランサムウェア固有の拡張子を追加しますが、Undergroundランサムウェアは、暗号化したファイルの拡張子を変更しないことが特徴です。
(6)ランサムウェアのファイルを削除
(7)Windowsのイベントログのリストを取得・削除
(6)と(7)は、ランサムウェアの中身や具体的な挙動を秘匿するための行為だと考えられます。
Undergroundランサムウェアは、ターゲットから盗み出したデータや被害者情報を掲載・公開するため、以下のようなデータ流出サイトを開設しています。
2024年8月末時点で16件の被害が報告されており、そのロケーションの多くは米国と欧州ですが、韓国や台湾、シンガポールでも確認されています。
この記事に関連するニュース
-
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ITmedia エンタープライズ / 2024年10月22日 7時15分
-
チェック・ポイント・リサーチ、2024年9月に最も活発だったマルウェアを発表 RansomHubが猛威を振るい続ける一方、AIを活用したマルウェアが増加中
PR TIMES / 2024年10月21日 15時45分
-
フォーティネット、日本におけるサイバー脅威の最新動向を説明
マイナビニュース / 2024年10月18日 15時21分
-
『内部データの搾取と侵害、二重脅迫型ランサムウェアへの根源的な対応策とは?』というテーマのウェビナーを開催
PR TIMES / 2024年10月4日 11時15分
-
ランサムウェア攻撃が疑われる際のWindowsイベントログの特徴 - JPCERT/CC
マイナビニュース / 2024年9月30日 9時41分
ランキング
-
1「青春18きっぷ」元に戻すよう求めるネット署名、1万件超え
ASCII.jp / 2024年10月28日 15時0分
-
2大型新人VTuber結城さくな、初配信300万回視聴超え
ASCII.jp / 2024年10月28日 13時5分
-
3これはちょうどいいSSDだ! 容量2TBの「FireCuda 530R」を試して分かったこと
ITmedia PC USER / 2024年10月28日 14時0分
-
4ドスパラ、対象PCが最大60,000円引きになるクーポンを配布する『秋のパソコンSALE』
マイナビニュース / 2024年10月28日 13時35分
-
5ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください