マカフィーが「Babuk」ランサムウェアの最新動向について報告
今回は「マカフィーが「Babuk」ランサムウェアの最新動向について報告」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
McAfee Advanced Threat Research(McAfee ATR)は米国時間7月28日、ランサムウェアグループBabukに関するレポートを公開した。Babukは最近、Linux/UNIXや「VMware ESXi」、VMwareのシステムを標的とするクロスプラットフォームのバイナリーを開発すると発表していた。
McAfeeのThibault Seret氏とNorthwaveのNoel Keijzer氏によるこのレポートでは、多くの企業の中核となるバックエンドシステムはこうした*nix系のOS上で稼働しているため、Babukはバイナリーに多くの問題があるにもかかわらず、それを使用して早々に有名企業のシステムをランサムウェアに感染させていると指摘されている。また、一部のランサムウェアグループが、クロスプラットフォームに対応する言語Golang(Go)でバイナリーの記述を試みているという。
両氏は、「BabukはGolangによるバイナリーの開発、さらには(同言語による)復号プログラムの開発にあたって、被害者に対してライブでのベータテストを実施するという手法を採用したようだ。われわれは、欠陥のあるバイナリーや欠陥のある復号プログラムのせいで、復元不可能な状態で暗号化されている被害者のマシンを複数目にしている」と述べている。
「被害者が要求に屈し、身代金の支払いに応じた場合であっても、ファイルを復元することはできなかった。われわれは、この粗悪なコードによってBabukとそのアフィリエイト仲間の関係が悪化することを強く望んでいる。ここで言うアフィリエイトとは、実際の攻撃活動を実行する犯人であり、彼らは現在、身代金を支払ったにもかかわらずデータを復元できない被害者とやり取りする状況に直面している。犯罪者の観点から見た場合、今回の1件はランサムウェア犯罪の力学を恐喝から、はるかに利益の少ない破壊へと本質的に変えるものとなっている」
Babukのランサムウェアを用いる典型的な攻撃手法は、初期アクセスとネットワーク内での横展開、対象への作用という3つの段階を特徴としている。
また、Babukはサービスとしてのランサムウェア(RaaS:Ransomware-as-a-Service)も運用していたが、4月に停止を表明している。Northwaveが調査したBabukの攻撃は、「Microsoft Exchange Server」に潜むリモートコード実行(RCE)の脆弱性「CVE-2021-27065」を突く。この脆弱性は脅威アクターHAFNIUMも悪用している。
レポートによると、脅威アクターはアクセス権を取得した後、システム内に「Cobalt Strike」によるバックドアを仕込む。そしてたいていの場合、攻撃者はCobalt Strikeを用いてアクセスを繰り返す。Northwaveは「ネットワーク上の複数の重要なシステム」に対してバックドアが仕掛けられているのを発見したという。
この攻撃者は、「zer0dump」のカスタム版を通じてドメイン管理者の認証を取得し、認証へのアクセスに「Mimikatz」を使っていたという。
「攻撃のその後の段階で、脅威アクターは、さらなる永続性を得る手段として一部のシステムで新しいローカル管理者のアカウントを作成することを選択した。Windowsシステム間の横展開はRDPを使用して行われた」
「攻撃者は、Linuxシステムへの接続には(『Putty』を使って)SSHを利用した。Linuxシステムへのファイルの移動は、Windowsシステムから『WinSCP』を使用して行われていた。一方で、Windowsシステムで使われたツールはインターネットからダウンロードされている。脅威アクターは、ウェブサイトをホストしている『temp.sh』『wdfiles.ru』ファイルを利用し、ほとんどのツールをホストしていた。ほかのツールは『GitHub』あるいはそれぞれの開発者のウェブサイトから直接ダウンロードされた」
また、攻撃者は「ADFind」「NetScan」「LAN SearchPro」を使用して環境を偵察した。そしてデータを抽出し、ランサムウェアを展開した。
データを圧縮した後、データを「Mega」「Googleドライブ」に抽出する。環境を完全に制御できるようになり、被害者からデータを盗み出した後、被害者のバックアップを破壊し、さらに被害者のESXiホストに移動して、プリコンパイルされたランサムウェアのバイナリーをデプロイする。
ランサムウェアのバイナリーは、被害者のすべての仮想マシンを暗号化する。McAfeeのアナリストによると、「このランサムウェアバイナリーは実装が非常に不十分で、元に戻せないデータの破損につながるいくつかの異なる設計上の欠陥が含まれている」という。
Babukの犯人は4月末、Babukは運用を停止し、別のビジネスモデルに切り替えると発表している。
このグループは、システムを暗号化するのではなく、データの流出のみに注力すると述べていた。また、コードを公開し、ランサムウェアをオープンソースプロジェクトにするとした。
「脅威アクターは、身代金の要求に反応しなかった被害者からのデータを公開することにフォーカスする可能性を示した。さらに、他のグループのデータをホストし、公開することも示唆した。そのようにして、Babukの脅威アクターはデータを管理する立場に移行しているようだ」
「Northwaveは、脅威アクターがデータを暗号化して被害者を恐喝するスキームから、脅威アクターが被害者のデータを暗号化し、侵入する二重恐喝のスキームへとゆっくり移行する動きを見てきた。 脅威アクターが、被害者を恐喝するために圧力をかける唯一の源が、機密データの流出というスキームに向かっていることが確認できる」
Babukのランサムウェアは、非常に大きな損害を引き起こしたと両氏は指摘する。欠陥のあるランサムウェアを運用していたことから、復号プロセスが「回復不能なダメージ」を引き起こすことにつながっていた可能性があるためだ。
両氏は、「ランサムウェアのこの不十分な設計が、攻撃者がデータを管理する立場に移行することを決定した理由だと考えられる」としている。
レポートによると、「最終的に、Babukの開発者が、ESXiのランサムウェア開発で難しさに直面したことが、暗号化からデータの盗難と恐喝へとビジネスモデルを変更することにつながった可能性がある」という。
トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ~Jvnが注意喚起 - 窓の杜
脆弱性ポータルサイト「JVN」は7月29日、トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性があると公表した ...
セキュリティシステムのおすすめ製品を比較!導入するメリットとは | マイナビニュース
IT化が進んだ現代では、あらゆる業種の企業が機密性の高いデータを保持し、それを狙うサイバー攻撃が増加しています。大切なデータを守るためにも、セキュリティシステムでの対策が必須です。本記事では、セキュリティシステムのメリットやおすすめ製品の比較を紹介します。
次世代セキュリティ「Sase」実現への5ステップ(ニュースイッチ)Sase(サシー)は、2021年のit・セキュリテ ...
次世代セキュリティ「SASE」実現への5ステップ(ニュースイッチ)SASE(サシー)は、2021年のIT・セキュリティ分野において、注目されている流行語の1つだ。ただ、そのメリットを実現するためには…
スマホのセキュリティ対策はどうするべき?iPhoneとAndroidにおけるセキュリティ対策の違い|セキュリティ通信
【セキュリティ通信】コンピューターセキュリティ事業を展開する株式会社カスペルスキーの石丸傑さんへお話を伺う第5回目。今回は、iPhoneやAndroidのモバイル端末のセキュリティをどのように対策していくべきか、サイバーセキュリティのプロフェッショナルの観点からお答えいただく。
米国のバイデン大統領が署名したことで話題となった「国家のサイバーセキュリティ改善に関する大統領令」とは ...
こんにちは、吉田です。今回は、5月12日に米国のバイデン大統領が署名した「国家のサイバーセキュリティ改善に関する大統領令(Executive Order on Improving the Nation’s Cybersecurity)」について、その内容を解説していきます。
保護者の約6割が「Gigaスクールで配布された端末にどんな対策が施されているか知らない」 トレンドマイクロ ...
トレンドマイクロの「GIGAスクールにおけるセキュリティ実態調査2021」によると、子どもが端末を受け取った保護者は41.2%、教員は70.7%。そのうち、子どもがサイバー犯罪などのトラブルを経験した割合は保護者の22.0%、教員の38.5%だった。
航空および防衛サイバーセキュリティ市場は、2021年から2027年の間に着実なペースで成長すると予測されています ...
航空および防衛サイバーセキュリティ市場は、2021年から2027年の間に着実なペースで成長すると予測されています. quella | 7月 30, 2021. この航空および防衛サイバーセキュリティ市場レポートに示されている市場データは、主要な市場動向とともにマクロ経済の ...
Chrome 設定 - セキュリティ -プライバシーとセキュリティ- セーフブラウジングを試す - もと桜ヶ丘 いま ...
設定-セキュリティ-プライバシーとセキュリティ-セーフブラウジングを試すGoogleChrome★標準から保護強化機能に変更して効果の様子を見ますChrome設定-セキュリティ-プライバシーとセキュリティ-セーフブラウジングを試す
「2020年と2021年に悪用された脆弱性トップ30」をfbiなどアメリカ・イギリス・オーストラリアのサイバー ...
連邦捜査局(FBI)などアメリカ・イギリス・オーストラリアのサイバーセキュリティ当局が2021年7月28日に、2020年と2021年に最も悪用された脆弱性(ぜいじゃくせい)を公開し、これらの脆弱性に対するパッチの適用や特に重点的な警戒について呼びかけました。
エレコム リモートワークの効率性を高めるセキュリティストレージとは データ保護と管理負担を軽減するセキュアな ...
エレコムのセッションでは、営業本部営業企画課法人営業企画チームのチームリーダーである三木孝仁氏が登壇。「10年間の実績に基づいた『安全性』と『管理者の負担軽減』を追求! リモートワークの効率性を高めるセキュリティストレージとは?」と題して講演した。
バイデン政権、重要インフラのサイバーセキュリティ強化に向け対策求める - ZDNet Japan
バイデン大統領は、重要インフラのサイバーセキュリティに関する覚書に署名した。米サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)、米国立標準技術研究所(NIST)らに、これらのセキュリティに関する実績目標を策定するよう命じた。
世界のIotセキュリティ市場は2030年まで24.8%のCAGRで成長する見込み:時事ドットコム
[Report Ocean]2021年7月28日にREPORTOCEANが発行した新しいレポートによると、-世界のIotセキュリティ市場は、2020年から2030年にかけて年率24.8%で成長し、2030年には1,156億ドルに達すると予測世界のIoTセキュリティ市場は、IoTデバイスへのマルウェア攻撃の増加、認証プロセスのためのクラウドベースのサービスへの需要の高まり、IoTセキュリティ規制の増加、重要インフラに対するセキュリティ懸念の高まり、世界各地での5Gネットワークの急速な発展などを背景…
工藤伸治のセキュリティ事件簿 シーズン 8 「レピュテーション攻撃の罠」 第3回 「全体像 ...
アマチュアによる Twitter 投稿等の炎上対応に四苦八苦しているのが現状の日本企業が、もし IRA(ロシアのネット世論操作組織)のような洗練された本格的方法で、計画的組織的に攻撃を受けた場合、どのような対処が可能なのでしょうか。
唐突に届いた「Googleドライブセキュリティアップデート」のメールの意味とは? - PC Watch
Googleは、「Googleドライブのセキュリティアップデート」というメールを通じてユーザーにアップデートを通知した。Googleドライブ上のファイルの ...
関係者による不正をどう防ぐ? 事例に学ぶゼロトラストセキュリティ実現への道 - ホワイトペーパー [ゼロトラスト]
従来の境界重視の対策だけでは情報資産を守り切れなくなりつつあることに加え、内部不正への対応や各国法規制へのコンプライアンスなど、セキュリティに求められる要件は複雑化している。これらを一気に解決する手段はないだろうか。
次世代セキュリティ「SASE」実現への5ステップ(ニュースイッチ) - goo ニュース
SASE(サシー)は、2021年のIT・セキュリティ分野において、注目されている流行語の1つだ。ただ、そのメリットを実現するためには、広範囲の対策が求められる。現段階では...
「Ictサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「Ictサイバーセキュリティ総合対策 ...
総務省・新着情報 報道資料令和3年7月29日「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表この度「サイバーセキュリティタスクフォース」において
「Ictサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「Ictサイバーセキュリティ総合対策 ...
「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表 - JR中央線西国分寺駅徒歩2分、どこよりも相談しやすい税理士・社会保険労務士事務所
大阪府でがん診療拠点病院向けのメールを誤送信、アドレス100件流出|サイバーセキュリティ.com
画像:大阪府より引用 大阪府は2021年7月26日、府内のがん診療拠点病院の担当者らに電子メールを送信した際に送信形式の設定ミスが発生し、各医療機関のメールアドレス100件(個人を識別できるもの63件を含む)が表示される事象が発生した
Nttドコモをかたる怪しいsms、偽セキュリティアプリをインストールしてしまった【被害事例に学ぶ、高齢者のための ...
連載 被害事例に学ぶ、高齢者のためのデジタルリテラシー. nttドコモをかたる怪しいsms、偽セキュリティアプリをインストールしてしまった. 7月 ...
インターネットモバイル通信のセキュリティ対策強化についてのお知らせ|インフォメーション|ニュースリリース|【公式】NTTPC
日頃からnttpcのサービスをご利用くださいまして、誠にありがとうございます。このたび、インターネットモバイル通信のセキュリティ対策を実施することになりましたので、ご案内申し上げます。セキュリティ対策の強化について近年サイバー攻撃が深刻な問題になっており、nttpcでは ...
北米の物理セキュリティの市場規模、2026年に482億米ドル到達予測 - ジョルダンソクラニュース
北米の物理セキュリティの市場規模は、2021年の374億米ドルからCAGR5.2%で成長し、2026年には482億米ドルに達すると予測されています。. 市場を牽引する主な要因は、セキュリティ侵害、不正行為、データの個人情報盗難の増加、BYOD・IoTデバイス使用の急増 ...
8割超が「翻訳スキルに不安」 ビジネスパーソンの6割が翻訳ツールのセキュリティを重視/Nttコム調査 ...
セキュリティへの期待 また、有料の翻訳ツールに対して6割以上が、「セキュリティ面」への不満・不安を感じており、有料翻訳ツールに対するセキュリティへの期待が高いことも判明した。 調査概要. 調査手法:インターネットによるアンケート調査
情報セキュリティ向上クラウド「Seculio」にISMSの運用スケジュールやタスクを一元管理できる新機能が登場 ...
730社、 51,580人以上のユーザが利用する情報セキュリティ向上クラウドです。 1ユーザあたり月100円(税抜)から利用でき、 情報セキュリティ管理の自動化・効率化や情報セキュリティレベルの向上を実現できる機能を多数提供しています。 【主な機能】
スカイライン Er34のer34スカイライン,乗り換え,セキュリティ,愛車紹介に関するカスタム&メンテナンスの投稿 ...
スカイラインのER34スカイライン・乗り換え・セキュリティに関するカスタム事例. 2021年07月29日 16時40分. #ER34スカイライン. #乗り換え. #セキュリティ. #愛車紹介. Not 34 S. 日産 スカイライン ER34. はじめまして!.
セキュリティ企業幹部が病院へのサイバー攻撃で起訴 何のために攻撃したのか?:攻撃目的は「商業的利益」など ...
セキュリティ企業のCOOが病院へのセキュリティ攻撃を実行した嫌疑で起訴された。電話システムを制御するコンピュータを侵害した疑いだ。
ALSI、「Microsoft 365おまかせサービスSwindy」のセキュリティ強化パックでWebフィルタ機能を ...
ニュース. ALSI、「Microsoft 365おまかせサービスSwindy」のセキュリティ強化パックでWebフィルタ機能をオプション提供
データ中心のセキュリティ市場ーコンポーネント別(ソリューションおよびサービス)、組織の規模別、展開の種類別、業種別 ...
データ中心のセキュリティ市場ーコンポーネント別(ソリューションおよびサービス)、組織の規模別、展開の種類別、業種別、および地域別ーグローバル予測2030年
情報セキュリティ向上クラウド「Seculio」にISMSの運用スケジュールやタスクを一元管理できる新機能が登場 ...
LRM株式会社のプレスリリース(2021年7月30日 11時42分)情報セキュリティ向上クラウド[Seculio]にISMSの運用スケジュールやタスクを一元管理できる新機能が登場