新たなランサムウェア「Memento」の調査レポート、ソフォスが公開
週刊BCN+ / 2021年12月21日 17時0分
![新たなランサムウェア「Memento」の調査レポート、ソフォスが公開](https://media.image.infoseek.co.jp/isnews/photos/weeklybcn/weeklybcn_188053_0-small.jpg)
記事の画像
ソフォスは、Pythonで記述されている新しいランサムウェア「Memento」の詳細を発表した。「パスワードで保護したアーカイブでファイルをロックし、暗号化の保護を回避する新たなランサムウェア攻撃者」という調査レポートを公開。その中で標的システムのデータを暗号化できない場合、パスワードで保護したアーカイブによってファイルをロックするMementoランサムウェアの攻撃について説明している。
ソフォスの研究者は、Mementoのオペレーターが今年4月中旬にこの標的のネットワークに侵入したと考えているという。攻撃者は、VMware vSphereに存在する欠陥を利用し、サーバーに侵入。VMware vSphereは、コンピュータを仮想化してリモートから管理するために使用される。ソフォスの研究者がフォレンジック調査を実施したところ、攻撃者が5月初旬に本格的に侵入を開始したことが分かったという。
攻撃者は、侵入してから最初の数カ月間は水平移動と偵察を行い、リモートデスクトッププロトコル(RDP)、NMAPネットワークスキャナ、アドバンストポートスキャナ、Plink Secure Shell(SSH)トンネリングツールを使用して、セキュリティを侵害したサーバーとインタラクティブに接続できる環境を確立したとのこと。また、Mimikatzを使用してアカウントの認証情報を取得し、その後の攻撃に利用していたという。
ソフォスの研究者は、10月20日に攻撃者が正規のツールであるWinRARを使用して複数のファイルを圧縮し、RDP経由でファイルを外部に送信していることを特定した。
攻撃者は、10月23日にMementoランサムウェアを初めて展開。この攻撃者が最初にファイルを直接暗号化しようと試みたものの、セキュリティソリューションによって阻止されたため、攻撃者は使用するツールを変更し、ランサムウェアを再展開した。無料版のWinRARの名前を変更して使用し、暗号化されていないファイルをパスワードで保護されたアーカイブにコピーした後、パスワードを暗号化し、元のファイルを削除した。
攻撃者は、ファイルを復元するために、ビットコインで100万ドルの身代金を要求。幸いなことに、攻撃を受けたこの組織は攻撃者から情報を得ることなくデータを復旧できたという。
Mementoの攻撃者が標的とした組織のネットワークに常駐しているときに、2人の別の攻撃者が同じ脆弱なアクセスポイントから同様のエクスプロイトを使用して侵入した。これらの攻撃者はそれぞれ、セキュリティが侵害された同じサーバーにクリプトマイナーを仕掛けている。一方の攻撃者が5月18日にXMRクリプトマイナーをインストールし、もう一方の攻撃者は9月8日と10月3日にXMRigクリプトマイナーをインストールした。
今回のインシデントから、パッチが適用されていないままインターネットに接続しているサーバーが1台でもあると、複数の攻撃者に侵入されて被害が拡大することが分かったという。ソフォスでは、パッチを速やかに適用すること、そしてサードパーティー・インテグレーター、契約している開発者、サービスプロバイダーにもソフトウェアのセキュリティについて確認してもらうことの重要性が改めて浮き彫りになったと捉えている。
外部リンク
この記事に関連するニュース
-
ユーロポール、ランサムウェア攻撃に悪用された593件のCobalt Strikeアドレスを削除
ITmedia NEWS / 2024年7月4日 17時4分
-
「基本対策だけでは心配」な方に ちょっと発展的な“プラスセキュリティ”のススメ
ITmedia エンタープライズ / 2024年7月2日 7時15分
-
中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動
マイナビニュース / 2024年6月20日 7時27分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
ランキング
-
1大谷翔平の新居「晒すメディア」なぜ叩かれるのか スターや芸能人の個人情報への向き合い方の変遷
東洋経済オンライン / 2024年7月16日 20時40分
-
2申請を忘れると年金200万円の損…荻原博子「もらえるものはとことんもらう」ための賢者の知恵
プレジデントオンライン / 2024年7月17日 8時15分
-
3工学系出身者が「先進国最低レベル」日本の"暗雲" エンジニアを育てられない国が抱える大問題
東洋経済オンライン / 2024年7月16日 17時0分
-
4「再配達は有料に」 ドライバーの本音は
ITmedia ビジネスオンライン / 2024年7月17日 6時40分
-
5リーマンショックで〈全財産1,100万円〉をわずか1ヵ月で失った後、4年で復活を遂げた〈億トレーダー〉が徹底している「守りの資金管理」とは
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月17日 11時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)