トレンドマイクロが、2019年1月から6月にかけてのセキュリティレポートを公開しています。
2019年上半期の日本国内の攻撃傾向としては、以下の傾向があげられています。
- ランサムウェア被害から明らかになるネットワーク侵入と内部活動の実態
- 金銭を狙うAndroid 向け不正アプリの攻撃が顕在化
- 継続するフィッシング詐欺の中でモバイルからの誘導が増加傾向
また、当該レポートではグローバルでの攻撃傾向もまとめていますが、グローバルにおいてもランサムウェアの脅威についてまとめられています。
ランサムウェアの脅威(グローバルの脅威レポートより引用)
ランサムウェア名 | 攻撃経路 | 拡散手法 | その他特徴 | 被害事例 |
Clop | ADを侵害 | RDPを狙った攻撃 | 検出を回避するために正規のデジタル署名とともに実行ファイルを拡散 | 韓国での感染が多い? |
Dharma | スパムメール | RDPに対するブルートフォース攻撃 | セキュリティソフトのインストールプロセスを使用した撹乱 | 米テキサス州の病院 |
NamPoHyu Virus | インターネットに露出したSambaサーバを侵害 | Sambaサーバに対するブルートフォース攻撃 | ファイルサーバを暗号化する | 参考 |
GandCrab | スパムメール、エクスプロイトキット、不正広告、改ざんしたWebサイト、インターネットに露出したデータベースの侵害、脆弱性が存在するソフトウェアの悪用 | アフィリエイトのカスタマイズにより拡散手法が異なる | サービスとしてのランサムウェア(Ronsomware as a Service、RaaS)として提供される | 国内でも感染 |
MongoLock | インターネットに露出し、セキュリティが不十分なオープンソースソフトウェアデータベース「MongoDB」を侵害 | インターネットに露出し、セキ ュリティが不十分なMongoDB を「Shodan」等のサービスで検索する |
ファイルを暗号化せず削除する。 またバックアップのドライブがある場合はそれをフォーマットする |
|
Ryuk | スパムメール | 感染したルータ、「Trickbot」 や「Emotet」、脆弱性 「EternalBlue」 | 感染したシステムを起動不可にする | フロリダの事例 |
LockerGoga | 窃取した認証情報を利用 | システム管理ツール、ペネトレ ーションテスト、ハッキングツール等で拡散。正規の認証情報 を使用して検出回避を図る。 | 感染したシステムのアカウントのパスワードを変更し、システムの再起動を阻止する | ノルスク・ハイドロの事例 |
Nozelesn | マルウェアスパム | Emotetを利用し、ネットワーク内の他のシステムへ自身を感染させる | ファイルレス活動を用いて、ダウンローダ「Nymaim」がランサムウェアをダウンロードする | |
RobbinHood | セキュリティが不十分なRDPを侵害またはダウンローダ | ドメインコントローラ等を侵害 (「Empire」やPowerShell、PsExec を悪用) | 固有の鍵を用いて各ファイルを暗号化する | メリーランド州の事例 |
BitPaymer | 管理者権限のアカウントを侵害、 バンキングトロジャン「Dridex」 | Dridex(ネットワーク情報を窃 取)、サプライチェーン攻撃 、リモートデスクトップの侵害 | 正規ツールPsExec を悪用 | |
MegaCortex | ドメインコントローラの侵害 | 名称変更を施したPsExec を介して感染 | 特定プロセスを無効化する |
なお、ランサムウェアに関する攻撃動向は、他のセキュリティベンダーでも報告されています。
カスペルスキーのレポート
https://www.kaspersky.co.jp/about/press-releases/2019_vir29082019
ランサムウェアの感染時にはいろいろな点を確認する必要がありますが、対処の考え方の一つの指標になりそうなチェック項目(案)も公開されています。
https://www.lac.co.jp/service/pdf/digitalforensic_introductory_02.pdf