セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > バラクーダネットワークスのアドバンストテクノロジグループ:アグレッシブなランサムウェア攻撃を監視

バラクーダネットワークスのアドバンストテクノロジグループ:アグレッシブなランサムウェア攻撃を監視
Eugene Weiss

2017年11月08日


バラクーダネットワークスのお客様は、

この攻撃から完全に保護されています。

質問は、下記のアドレスまたは

Twitterアカウントにお寄せください。

このブログでは、引き続き最新情報を掲載します。

各セクションにジャンプ:

メイン

2017/09/19のアップデート

2017/09/21のアップデート

2017/09/22のアップデート

セキュリティ侵害の痕跡

バラクーダネットワークスのアドバンストテクノロジグループは、ベトナムで大量に出現したアグレッシブなランサムウェア攻撃を監視しています。この攻撃は、インド、コロンビア、トルコ、ギリシャでも報告されています。これ以外の国でも同じ攻撃が発生していますが、件数は非常に少ないようです。バラクーダネットワークスは過去24時間でおよそ2,000万件を把握しており、急速に拡大しています。

この攻撃では、「Herbalife」のメールまたは「copier」ファイル送信になりすましたメールが悪用されています。

攻撃は次々に姿を変えていますが、同じメールアドレスが使用されています。次に、ベトナムとギリシャにおいて早い段階で発生したメールの例を挙げます。

3番目の亜種は数時間前に発生したものであり、件名は「Emailing – <添付ファイル名>」となっています。

この添付ファイルは、ランサムウェア特有の挙動を示します。現在、どの亜種が使用されているかを特定するために、サンプルを分析中です。このブログでは、引き続き最新情報を掲載します。

フィンガープリントの数はおよそ6,000です。したがって、テンプレートを使ってファイルをランダムに使用し、自動生成された攻撃だと考えられます。ペイロードファイルの名前とセカンダリペイロードのダウンロードに使用されるドメインは変更されており、これによってウイルス対策エンジンを迂回しています。

この攻撃について、引き続き最新情報をお伝えします。

バラクーダネットワークスのメールセキュリティソリューションのユーザと、Advanced Threat Protectionのユーザは、この攻撃から完全に保護されています。この攻撃メールは、バラクーダネットワークスのメールフィルタリングセキュリティアプライアンスとSaaS製品によってすべてブロックされています。バラクーダネットワークスは、フィルタによって脅威の動作を監視および分析しています。この攻撃で場所でバラクーダネットワークスの製品が悪用されることはなく、バラクーダネットワークスのネットワークやお客様にも影響は出ていません。

アップデート:9/19/17 6:30pm PST 

バラクーダネットワークスは、Lockyの亜種(単一ID)であることを確認しました。攻撃者は犠牲者をIDで識別し、身代金を支払った犠牲者に復号キーを送信します。ところが、この攻撃の犠牲者はすべて同じIDを持っているので、身代金を支払ったからといって復号器キーが手に入るわけではありません。

この攻撃では、コンピュータ言語ファイルがチェックされます。このことから、今後、この攻撃の国際版が出現する可能性があります。

バラクーダネットワークスのシステムはこのメールを2,700万件ほどブロックしていますが、攻撃は続いています。

アップデート1の終わり

アップデート:9/21/17 11:30am PST

バラクーダネットワークスは、この攻撃で新たに2つのラッパーを特定しました。1つは、なりすましのボイスメールメッセージです。件名は、「New voice message [電話番号] in mailbox [電話番号] from [“電話番号”] [<別の電話番号>]です。   この時点で、メール本文のドメインは不審な挙動をしていません。攻撃の大部分はセルビアが発生元です。

2つ目は、marketplace.amazon.ukになりすました請求書を使ったラッパーです。ドメインのスプーフィングが行われていますが、イギリスのドメインをターゲットにした攻撃は増加していません。

1時間あたり100万件が発生しています。新たなラッパーによる攻撃が増える可能性もあります。

引き続き、最新情報をお伝えします。

アップデート2の終わり

アップデート:9/22/2017 1:40pm PST

この攻撃で新たなラッパーが特定されました。リンクのみの空メールです。件名と亜種の添付ファイル名が指定されています。3つのタイプ(IMG、SCAN、JPEG)を、それぞれのペイロードシグネチャの例で示します。プログラムは3タイプのラッパーを送信しています。これは、最初のラッパーです。前のペイロードファイルでは、それぞれ異なるラッパーテンプレートと件名が使用されていました。

###

###

###

バラクーダネットワークスのシステムは、このメールをおよそ7,000件ブロックしています。

引き続き、最新情報をお伝えします。

アップデート3の終わり

セキュリティ侵害の痕跡:

6N01001755_1.7z (“Herbalife”)

  • MD5  —  1b38a94f7ea7ef17a88ace43bb1e8780
  • SHA1  —  213776b57d7c28e7152d8ce81298a6ff67cf9f10
  • SHA256  —  83a7891731aacbe25bb5f5e2ba0c8dabed379be8c6fbc25db78c0d771a20a432

10008009158.7z (“Emailing”)

  • MD5  —  8b9e81492275ba57a7283b4a48c61240
  • SHA1  —  167e625c11063c3fa5edb3d6755d79c7d9b88d69
  • SHA256  —  1b80b24b7195960a74cc10dbbc9685ae229443a80d11c7fe7a9c8fdd4e59840d
  • 188.190.7.128
  • 188.190.7.128
  • http://fulcar.info/p66/IUGiwe8

さらに詳細な内容がわかり次第、ブログに掲載する予定です。 

セキュリティ侵害の痕跡:終わり


ユージン(Eugene Weiss)は、プラットフォーム設計リーダーとしてディープラーニングテクノロジに取り組むほか、バラクーダネットワークスのコンテンツインテリジェンスチームの責任者も務めています。

ユージーンとつながりたい方は、LinkedInからどうぞ。


*本内容はBarracuda Product Blog 2017年 9月19日 Barracuda Advanced Technology Group monitoring aggressive ransomware threat を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT