教育機関や医療機関を標的とするランサムウェアに対抗する

「攻撃者がサイバー衛生に無関心な従業員をだまして添付ファイルを開いたり、悪意のあるリンクをクリックさせたりして、ネットワーク全体を侵害した場合、わずかに変更されたマルウェアを含む単一のスピア フィッシング メールが数百万ドル規模のエンタープライズ セキュリティ ソリューションをバイパスする可能性があります。」

James Scott、シニア フェロー、Institute for Critical Infrastructure Technology

先週、Defray と呼ばれるランサムウェアが、感染時に 5,000 ドルを要求するエリート組織の選択されたグループを標的にしました。これは、高度な暗号化アルゴリズムを使用する C++ で記述されたファイル エンコーダー型トロイの木馬です。

Defray という名前は、最初に追跡された攻撃「defrayable-listings」のコマンド アンド コントロール サーバー ホストに基づいています。

Glushkov Ransomware の別名でも知られています。この名前は、「admin@wsxdn.com」、「glushkov®tutanota.de」、および「admin@wsxdn.com」の電子メール アカウントへの参照として使用される可能性があります。これらのアカウントは、脅威を拡散し、ハッカーに連絡するために使用されます。

それは 2 つの小規模で選択的な攻撃を分散させており、大きな暗号脅威として認識されています。この脅威は、Petya や WannaCry 株に例えられています。

報告によると、この脅威は主に病院や教育機関のネットワークを標的とし、データを暗号化しています。

最初の攻撃は医療および教育機関を対象としており、他の攻撃は製造および技術機関を標的としていました。

どのように広がっていますか?

画像ソース: gbhackers

マルウェアの拡散に使用されたインストーラーは、実行可能なビデオ クリップ (O LE パッケージャー シェル オブジェクト) が埋め込まれた Word ドキュメントを使用しています。

受信者が画像である埋め込みビデオを再生しようとすると、Defray Ransomware がインストールされてアクティブになります。インストール後、データの暗号化を開始し、身代金メモを表示して、アクセスを回復するには身代金を支払う必要があると宣言します。

フィッシング メールや標的型スピア フィッシング メールを使用してオフィスの従業員を引き付け、感染したドキュメントを強制的に読ませます。電子メールは個人またはグループに宛てられ、ターゲットをおびき寄せるために特別に設計されたメッセージで構成されています。

8 月 15 日に初めてキャンペーンが行われ、製造業と技術の専門家を対象としていました。 8 月 22 日に引き続き、別のキャンペーンが開始され、偽のメールが医療機関や教育機関に送信されました。この電子メールには、病院の情報管理および技術の責任者と思われる患者からの報告が含まれていました。

画像ソース: 証拠

これらの偽の電子メールは、マルウェアへのオープンな招待状を提供し、マシンにインストールされます。それは、吸血鬼を家に迎え入れて、吸血鬼に血を飲ませるようなものです.

このすべての後、身代金メモがデスクトップに表示され、被害者はビットコインで 5,000 ドルを支払うよう求められます。

身代金メモは、「Files.TXT」と「HELP.TXXR」という名前の 2 つのファイルの下にあり、次のように結論付けられています。

「これはカスタム開発されたランサムウェアです。デクリプタはウイルス対策会社によって作成されたものではありません。こちらは名前すらありません。ファイルの暗号化に AES-256 を使用し、暗号化された AES-256 パスワードの保存に RSA-2048 を使用し、暗号化されたファイルの整合性を維持するために SHA-2 を使用します。 C++ で書かれており、多くの品質保証テストに合格しています。次回これを防ぐには、オフライン バックアップを使用してください。」

ソース: トリップワイヤー

Defray ランサムウェアは、次の拡張子を持つファイルを暗号化します:

.001、.3ds、.7zip、.MDF、.NRG、.PBF、.SQLITE、.SQLITE2、.SQLITE3、.SQLITEDB、.SVG、.UIF、.WMF、.abr、.accdb、.afi 、.arw、.asm、.bkf、.c4d、.cab、.cbm、.cbu、.class、.cls、.cpp、.cr2、.crw、.csh、.csv、.dat、.dbx、. dcr、.dgn、.djvu、.dng、.doc、.docm、.docx、.dwfx、.dwg、.dxf、.exe、.fla、.fpx、.gdb、.gho、.ghs、.hdd、 .html、.iso、.iv2i、.java、.key、.lcf、.lnk、.matlab、.max、.mdb、.mdi、.mrbak、.mrimg、.mrw、.nef、.odg、.ofx 、.orf、.ova、.ovf、.pbd、.pcd、.pdf、.php、.pps、.ppsx、.ppt、.pptx、.pqi、.prn、.psb、.psd、.pst、. ptx、.pvm、.pzl、.qfx、.qif、.r00、.raf、.rar、.raw、.reg、.rw2、.s3db、.skp、.spf、.spi、.sql、.sqlite-ジャーナル、.stl、.sup、.swift、.tib、.txf、.u3d、.v2i、.vcd、.vcf、.vdi、.vhd、.vmdk、.vmem、.vmwarevm、.vmx、.vsdx、 .wallet、.win、.xls、.xlsm、.xlsx、.zip

ソース: エニグマソフトウェア

これらのランサムウェア攻撃はすべて、保護と認識を維持するための警告です。匿名の送信元や不明な送信元から受信した電子メールは開かないようにする必要があります。電子メールで受け取ったすべての添付ファイルを開くべきではありません。また、セキュリティの観点から、最新のアンチウイルスをマシンにインストールする必要があります。