CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開

今回は「CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間8月11日、「Zeppelin」というランサムウェアに関するアドバイザリーを公開し、その中で同犯罪者グループが用いている戦術の詳細を明らかにした。このグループは、米国や欧州の大規模な組織を標的にして、多額の身代金を要求してきている。

 Zeppelinは2019年後半に発見された「サービスとしてのランサムウェア」(RaaS)であり、そのキャンペーンでは二重脅迫型の手法が用いられている。かつて「VegaLocker」と呼ばれていたこのランサムウェアは、欧州や北米におけるヘルスケア分野の組織を標的にすることで知られていた。同アドバイザリーによると、防衛関係の請負業者や、教育機関、製造業者、テクノロジー企業なども標的にされており、ヘルスケア業界や医療業界の組織が「特に」狙われてきているという。

 同アドバイザリーによると、Zeppelinの背後にいる脅威アクターらは、RDPと、「SonicWall」のファイアウォールに潜んでいる脆弱性、フィッシング攻撃を用いて被害者のネットワークにも侵入しているという。英国の国民保険サービス(NHS)は2021年に、同グループがWord文書に潜ませた悪意あるマクロを用いてZeppelinを拡散させていると報告していた。ただ、最近になってMicrosoftがOffice上での信頼できないVBAマクロをデフォルトでブロックするようにしたことで、今後こうした拡散方法が問題となる可能性は低くなるかもしれない。

 Zeppelinを用いる脅威アクターらは数千ドル(約数十万円)から、100万ドル(約1億3000万円)を超える身代金を要求することでも知られている。なお同アドバイザリーは、Zeppelinを「統制の取れた組織」による脅威だとするCore Securityのレポートを参考文献として挙げている。

 FBIの調査によって、攻撃者はランサムウェアを展開する前に入念な下準備を実行していることが明らかにされている。例を挙げると、攻撃者はクラウドストレージや、ネットワークのバックアップ先を探し出し、ネットワークの接続形態を調べ上げるのに1~2週間を費やしている。その後、DLL(ダイナミックリンクライブラリー)や実行可能ファイルの形態で、あるいはPowerShellのローダーにラップした形で、マルウェアを展開する。

 Zeppelinの攻撃には、復号鍵が1つだけで済まず、複数必要となるケースもあったという。これは同ランサムウェアが複数回実行された結果だ。こうしたケースでは、実行のたびにネットワーク上のマシン内のファイルに付加されるファイル拡張子(復号鍵の請求に必要となる識別子(ID)で、ランダムに生成される9桁の16進数値)が、複数付加されていた。

 同アドバイザリーには「FBIは、Zeppelinを用いるアクターらが被害者のネットワーク内でマルウェアを複数回実行したことで、異なったID、すなわちファイル拡張子が生成されたケースを確認している。このため被害者は、複数の復号鍵を必要とするようになっていた」と記されている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
歌うように話すロボット「チャーリー」、ヤマハが発売 ボカロ技術の活用で
くらテク
2021-03-26 21:30
NEC、2022年度第1四半期決算は増収減益–今後の復調を見込む
IT関連
2022-08-02 12:04
VR演劇「僕はまだ死んでない」 演劇とは何かに挑んだ意欲作
IT関連
2021-03-13 01:07
出張シェフが1食600円台で作り置き、シェアダインが急拡大で「年内に全国展開も視野」
シェアリングエコノミー
2021-07-22 12:38
「シン・エヴァ」配信初日の視聴者数で歴代1位に Amazonが発表
くらテク
2021-08-18 08:53
星野リゾート、クラウド型のCRM/BIツールを導入–来館予約のキャンセルを半減
IT関連
2021-03-27 05:20
自分の肌の色とパーソナルカラーがわかるZOZOの測定ツール「ZOZOGLASS」を体験
ネットサービス
2021-03-23 04:37
フランス語圏アフリカの消費者向け金融スーパーアプリ構築に力を入れるコートジボアールのDjamo
フィンテック
2021-03-01 19:22
「Linux」デスクトップに「Android」を接続するには–「KDE Connect」を使った手順
IT関連
2022-08-13 19:28
アプリケーションの刷新目的、日本はコスト削減ばかり–ガートナー調査
IT関連
2022-04-09 06:15
ソフトもハードも開発するIoTスタートアップobnizインタビュー、第2回目TC HUBイベントレポート
イベント情報
2021-08-07 21:51
新宿の巨大猫 “渋谷のハチ公”狙う?
くらテク
2021-07-14 20:08
新型コロナワクチンの接種時期、年齢と居住地から予測 JX通信社のアプリに新機能
ロボット・AI
2021-02-16 13:31
Armが次世代プロセッサーアーキテクチャ「Arm9」を発表
ハードウェア
2021-04-01 16:37