CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開

今回は「CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間8月11日、「Zeppelin」というランサムウェアに関するアドバイザリーを公開し、その中で同犯罪者グループが用いている戦術の詳細を明らかにした。このグループは、米国や欧州の大規模な組織を標的にして、多額の身代金を要求してきている。

 Zeppelinは2019年後半に発見された「サービスとしてのランサムウェア」(RaaS)であり、そのキャンペーンでは二重脅迫型の手法が用いられている。かつて「VegaLocker」と呼ばれていたこのランサムウェアは、欧州や北米におけるヘルスケア分野の組織を標的にすることで知られていた。同アドバイザリーによると、防衛関係の請負業者や、教育機関、製造業者、テクノロジー企業なども標的にされており、ヘルスケア業界や医療業界の組織が「特に」狙われてきているという。

 同アドバイザリーによると、Zeppelinの背後にいる脅威アクターらは、RDPと、「SonicWall」のファイアウォールに潜んでいる脆弱性、フィッシング攻撃を用いて被害者のネットワークにも侵入しているという。英国の国民保険サービス(NHS)は2021年に、同グループがWord文書に潜ませた悪意あるマクロを用いてZeppelinを拡散させていると報告していた。ただ、最近になってMicrosoftがOffice上での信頼できないVBAマクロをデフォルトでブロックするようにしたことで、今後こうした拡散方法が問題となる可能性は低くなるかもしれない。

 Zeppelinを用いる脅威アクターらは数千ドル(約数十万円)から、100万ドル(約1億3000万円)を超える身代金を要求することでも知られている。なお同アドバイザリーは、Zeppelinを「統制の取れた組織」による脅威だとするCore Securityのレポートを参考文献として挙げている。

 FBIの調査によって、攻撃者はランサムウェアを展開する前に入念な下準備を実行していることが明らかにされている。例を挙げると、攻撃者はクラウドストレージや、ネットワークのバックアップ先を探し出し、ネットワークの接続形態を調べ上げるのに1~2週間を費やしている。その後、DLL(ダイナミックリンクライブラリー)や実行可能ファイルの形態で、あるいはPowerShellのローダーにラップした形で、マルウェアを展開する。

 Zeppelinの攻撃には、復号鍵が1つだけで済まず、複数必要となるケースもあったという。これは同ランサムウェアが複数回実行された結果だ。こうしたケースでは、実行のたびにネットワーク上のマシン内のファイルに付加されるファイル拡張子(復号鍵の請求に必要となる識別子(ID)で、ランダムに生成される9桁の16進数値)が、複数付加されていた。

 同アドバイザリーには「FBIは、Zeppelinを用いるアクターらが被害者のネットワーク内でマルウェアを複数回実行したことで、異なったID、すなわちファイル拡張子が生成されたケースを確認している。このため被害者は、複数の復号鍵を必要とするようになっていた」と記されている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
デルとNVIDIAが発表した生成AI開発基盤の「Project Helix」とは
IT関連
2023-05-27 20:49
開発者向け動画プラットフォーム「Mux」が約115億円調達しユニコーンに
ソフトウェア
2021-05-03 14:40
ニューススタンドのコンセプトを取り入れた職場用アメニティでオフィス勤務に戻るモチベーションを高めるNew Stand
その他
2021-07-14 01:21
グリッド、「社会インフラ特化型SaaS」に新機能–多様な業界でエネルギー最適化など支援
IT関連
2023-06-13 14:33
読売新聞東京本社、SalesforceとMotionBoardで営業力強化と業務効率化を実現
IT関連
2024-12-05 05:09
ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始
IT関連
2022-07-30 10:16
超高速開発やクラウドなど事業構造変革が加速–JBCC HDの2022年度決算
IT関連
2022-05-14 02:31
「アニメとコミックとゲーム」好きのためのバーチャルソーシャルアプリ「MEW」が米国でコミックファンを魅了
IT関連
2022-03-14 13:46
Parler停止のAWSとトランプ氏アカウント凍結のFacebook、報復に警戒するよう従業員に通達
企業・業界動向
2021-01-14 01:48
SoftBankが米国のヒスパニック系移民向けサービスに大型投資
フィンテック
2021-04-25 16:43
「ひとり情シス大学1日コース」開講報告(3)–製造業のひとり情シスがデジタル化を加速
IT関連
2023-01-14 05:04
サイバーエージェント、MOTEXの脆弱性診断サービスでセキュリティ対策を強化
IT関連
2024-12-22 01:16
正社員のテレワーク実施率、コロナ拡大後で最低の22.2%に–パーソル総合研究所
IT関連
2023-08-18 05:10
セゾン情報、クラウド型データ連携基盤「HULFT Square」を提供
IT関連
2023-02-11 05:08