教育機関や医療機関を標的とするランサムウェアに対抗する
「攻撃者がサイバー衛生に無関心な従業員をだまして添付ファイルを開いたり、悪意のあるリンクをクリックさせたりして、ネットワーク全体を侵害した場合、わずかに変更されたマルウェアを含む単一のスピア フィッシング メールが数百万ドル規模のエンタープライズ セキュリティ ソリューションをバイパスする可能性があります。」
James Scott、シニア フェロー、Institute for Critical Infrastructure Technology
先週、Defray と呼ばれるランサムウェアが、感染時に 5,000 ドルを要求するエリート組織の選択されたグループを標的にしました。これは、高度な暗号化アルゴリズムを使用する C++ で記述されたファイル エンコーダー型トロイの木馬です。
Defray という名前は、最初に追跡された攻撃「defrayable-listings」のコマンド アンド コントロール サーバー ホストに基づいています。
Glushkov Ransomware の別名でも知られています。この名前は、「[email protected]」、「glushkov®tutanota.de」、および「[email protected]」の電子メール アカウントへの参照として使用される可能性があります。これらのアカウントは、脅威を拡散し、ハッカーに連絡するために使用されます。
それは 2 つの小規模で選択的な攻撃を分散させており、大きな暗号脅威として認識されています。この脅威は、Petya や WannaCry 株に例えられています。
報告によると、この脅威は主に病院や教育機関のネットワークを標的とし、データを暗号化しています。
最初の攻撃は医療および教育機関を対象としており、他の攻撃は製造および技術機関を標的としていました。
どのように広がっていますか?
画像ソース: gbhackers
マルウェアの拡散に使用されたインストーラーは、実行可能なビデオ クリップ (O LE パッケージャー シェル オブジェクト) が埋め込まれた Word ドキュメントを使用しています。
受信者が画像である埋め込みビデオを再生しようとすると、Defray Ransomware がインストールされてアクティブになります。インストール後、データの暗号化を開始し、身代金メモを表示して、アクセスを回復するには身代金を支払う必要があると宣言します。
フィッシング メールや標的型スピア フィッシング メールを使用してオフィスの従業員を引き付け、感染したドキュメントを強制的に読ませます。電子メールは個人またはグループに宛てられ、ターゲットをおびき寄せるために特別に設計されたメッセージで構成されています。
8 月 15 日に初めてキャンペーンが行われ、製造業と技術の専門家を対象としていました。 8 月 22 日に引き続き、別のキャンペーンが開始され、偽のメールが医療機関や教育機関に送信されました。この電子メールには、病院の情報管理および技術の責任者と思われる患者からの報告が含まれていました。
画像ソース: 証拠
これらの偽の電子メールは、マルウェアへのオープンな招待状を提供し、マシンにインストールされます。それは、吸血鬼を家に迎え入れて、吸血鬼に血を飲ませるようなものです.
このすべての後、身代金メモがデスクトップに表示され、被害者はビットコインで 5,000 ドルを支払うよう求められます。
身代金メモは、「Files.TXT」と「HELP.TXXR」という名前の 2 つのファイルの下にあり、次のように結論付けられています。
「これはカスタム開発されたランサムウェアです。デクリプタはウイルス対策会社によって作成されたものではありません。こちらは名前すらありません。ファイルの暗号化に AES-256 を使用し、暗号化された AES-256 パスワードの保存に RSA-2048 を使用し、暗号化されたファイルの整合性を維持するために SHA-2 を使用します。 C++ で書かれており、多くの品質保証テストに合格しています。次回これを防ぐには、オフライン バックアップを使用してください。」
ソース: トリップワイヤー
Defray ランサムウェアは、次の拡張子を持つファイルを暗号化します:
.001、.3ds、.7zip、.MDF、.NRG、.PBF、.SQLITE、.SQLITE2、.SQLITE3、.SQLITEDB、.SVG、.UIF、.WMF、.abr、.accdb、.afi 、.arw、.asm、.bkf、.c4d、.cab、.cbm、.cbu、.class、.cls、.cpp、.cr2、.crw、.csh、.csv、.dat、.dbx、. dcr、.dgn、.djvu、.dng、.doc、.docm、.docx、.dwfx、.dwg、.dxf、.exe、.fla、.fpx、.gdb、.gho、.ghs、.hdd、 .html、.iso、.iv2i、.java、.key、.lcf、.lnk、.matlab、.max、.mdb、.mdi、.mrbak、.mrimg、.mrw、.nef、.odg、.ofx 、.orf、.ova、.ovf、.pbd、.pcd、.pdf、.php、.pps、.ppsx、.ppt、.pptx、.pqi、.prn、.psb、.psd、.pst、. ptx、.pvm、.pzl、.qfx、.qif、.r00、.raf、.rar、.raw、.reg、.rw2、.s3db、.skp、.spf、.spi、.sql、.sqlite-ジャーナル、.stl、.sup、.swift、.tib、.txf、.u3d、.v2i、.vcd、.vcf、.vdi、.vhd、.vmdk、.vmem、.vmwarevm、.vmx、.vsdx、 .wallet、.win、.xls、.xlsm、.xlsx、.zip
ソース: エニグマソフトウェア
これらのランサムウェア攻撃はすべて、保護と認識を維持するための警告です。匿名の送信元や不明な送信元から受信した電子メールは開かないようにする必要があります。電子メールで受け取ったすべての添付ファイルを開くべきではありません。また、セキュリティの観点から、最新のアンチウイルスをマシンにインストールする必要があります。
-
WannaCry やその他のランサムウェア攻撃から身を守る方法
詳細に立ち入りたくない場合は、シンプルなプランで節約できます:データ バックアップ プラン!必要なのは、データを安全に保つための安全なバックアップ サービスだけです。今すぐ正しいバックアップを入手してください! 21 番目のセキュリティはもはやアンチウイルスをインストールすることだけではないことを、私たちはよく理解していません。マルウェアの拡散は、システム上の不正なプログラムだけに限定されているわけではありません。ランサムウェア攻撃は、ハッカーにとって好ましい攻撃形態です。ソフトウェアを更新し、定期的にデータをバックアップしていない限り、被害者になるリスクは常にあります。 まず、ソフトウェ
-
フィッシングとランサムウェアの関係と注意を怠らない方法
ランサムウェアは、暗号化を使用して被害者のデータを人質にするウイルスの一種です。ハッカーがユーザーまたは組織の重要なデータを暗号化し、ファイル、データベース、またはアプリにアクセスできないようにするために使用されます。次に、アクセスを得るために身代金を要求されます。企業や政府機関に多大な損害とコストをもたらしながら、ハッカーに数十億ドルの支払いを生み出す脅威は増大しています。 企業がランサムウェアの影響を受けると、徹底的な調査に長い時間がかかる場合でも、企業はその出来事を迅速に開示します。重要な情報をすべて入手したら、電子メール、ウェブサイトの更新、ソーシャル メディア、さらにはマスコミを通じ