カスペルスキー、新たなランサムウェア「ShrinkLocker」を特定
週刊BCN+ / 2024年5月30日 14時9分
記事の画像
カスペルスキーは5月28日、同社のグローバル緊急対応チーム(GERT)が、MicrosoftのWindowsで提供されるドライブ暗号化機能「BitLocker」を悪用し、企業のデータやファイルの暗号化を試みるランサムウェアを使用した攻撃を確認したと発表した。 この攻撃者は、特定のWindowsバージョンを検出し、それに応じてBitLockerを有効にしてドライブ全体を暗号化するという新機能を備えたスクリプトを使用。また、ファイルの復元を防ぐために回復オプションも削除する。このランサムウェアとその亜種によるインシデントは、メキシコ、インドネシア、ヨルダンで確認しており、主に鉄鋼やワクチンの製造企業、政府機関を標的としていた。日本での攻撃は観測されていないが、今後は注意が必要となる。GERTはこのランサムウェアを「ShrinkLocker(シュリンクロッカー)」と名付けたとしている。
GERTの調査では、この脅威アクターはVBScript(主にWindowsのタスク自動化やアプリケーション制御に用いられるスクリプト言語)を使用し、攻撃による被害を最大化するためにこれまで報告されていない機能をもつスクリプトを作成している。同スクリプトの新しい点は、攻撃対象とするシステムのWindowsバージョンを確認し、それに応じてBitLockerの機能を有効にすることで、Windowsの最新バージョンからWindows Server 2008までのレガシーシステムに感染させることができるとみている。
GERTチームは、この悪意のあるスクリプトを「ShrinkLocker」と名付けた。名前の由来には、攻撃者が暗号化されたファイルとともにシステムを正確に起動させるために不可欠な、パーティションのリサイズという特徴的な手順を強調する意味を込めた。
カスペルスキー製品では、この脅威を「Trojan.VBS.SAgent.gen」「Trojan-Ransom.VBS.BitLock.gen」「Trojan.Win32.Generic」の検知名で検知・ブロックするとしている。
外部リンク
この記事に関連するニュース
-
中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動
マイナビニュース / 2024年6月20日 7時27分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
海賊版Microsoft Officeから複数のマルウェア、削除しても自動で復活
マイナビニュース / 2024年6月1日 9時32分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
-
Kaspersky、BitLockerを使用して企業データを暗号化する新たなランサムウェア「ShrinkLocker」を特定
PR TIMES / 2024年5月29日 16時40分
ランキング
-
1メルカリとリクルートはタイミーの牙城を崩せない、これだけの理由
ITmedia ビジネスオンライン / 2024年6月27日 13時50分
-
2MS365アクセス障害か マイクロソフト「調査中」
共同通信 / 2024年6月27日 13時44分
-
3ダイキン株主総会は井上氏への43億円「功績金」を可決 「もっと高くてもいい」株主も賛同
産経ニュース / 2024年6月27日 14時50分
-
4「東京チカラめし63店舗」を即決買収…壱角家が「家系ラーメンのチェーン展開」で大成功できた理由
プレジデントオンライン / 2024年6月27日 10時15分
-
5アップル、グーグルなどメーカーがチューチューしてきた"修理利権"が消滅…格安「DIY修理」革命で起こること
プレジデントオンライン / 2024年6月27日 10時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください