日本企業を狙うランサムウェア「鬼」、ファイル暗号化して痕跡を消去(1/2 ページ)
ONIに感染したマシンでは、すべてのファイルが暗号化され、「Oninoy0ru」(鬼の夜)のアドレスに連絡を取るよう要求する。
セキュリティ企業の米Cybereasonは10月31日、ランサムウェア「ONI」を使った日本企業に対する標的型攻撃の実態について、詳しい調査結果をブログで報告した。
ONIはセキュリティ企業のCylanceが7月に報告していたマルウェア。Cybereasonによると、標的型攻撃は3〜9カ月にわたって続いた後、最後に数百台ものマシンを一斉に暗号化しようとする。フォレンシック分析を行った結果、攻撃者は自分たちの挙動を覆い隠すことに相当の労力を注いでいることが分かったという。
ONIと組み合わせて、マスターブートレコード(MBR)に感染する新手のランサムウェア「MBR-ONI」が攻撃に使われていることも判明した。MBR-ONIは正規のディスク暗号化ユーティリティ「DiskCryptor」をベースとするランサムウェアで、感染するとMBRを改ざんしてディスクパーティションを暗号化してしまう。DiskCryptorのコードは、ロシアやウクライナで猛威を振るったランサムウェア「BadRabbit」にも利用されていたという。
ONIを使った攻撃は、さまざまな業界の日本企業を標的としている。まずは照準を絞ったスピアフィッシングの電子メールを送り付け、領収書を装うなど不正なOffice文書を使って相手をだます手口で社内ネットワークに侵入。特権を獲得してネットワーク内部で偵察活動を行い、会社の重要な情報を盗み出す。最終段階ではWindowsのログ記録を消去して攻撃の痕跡を隠し、大量のファイルを暗号化する。
関連記事
- ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害
ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている。 - 銀行情報を狙うマルウェア「Ursnif」、日本での活動が再び活発に
Ursnifが仕掛けられたメールは「公共料金請求書データ送付の件」「商品発送のお知らせ」といった内容でユーザーをだまし、添付ファイルやリンクをクリックさせようとする。 - 世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
ランサムウェア「Petya」の新しい亜種による大規模攻撃が発生。ウクライナを中心に、重要インフラがダウンするなどの大きな被害が出ている。 - 今度は「PETYA亜種」が猛威 感染対策に効く“情報の追い方”
感染によって暗号化されたデータを元に戻すのが難しいとされるランサムウェア「PETYA亜種」が流行の兆しを見せています。餌食にならないための対策方法とは。
Copyright © ITmedia, Inc. All Rights Reserved.