2019 年 11 月 4 日 Emil Hozan 著

終わることのないような勢いでサイバー犯罪が続く中、現在、スペインが注目されています。CBROnline.com は、このところのスペインを標的にする大量の攻撃の中で、少なくとも 2 つの企業がサイバー攻撃を受けたと報告しています。使用されたランサムウェアは特定されていないものの、おそらく Bitpaymer か Ryuk ではないかとされています。BlueKeep の検知数も急増したことが、この推測を裏付けているようです。

CrowdStrike は、Bitpaymer とオンラインバンキングを標的にするトロイの木馬である Dridex の両方が使われていると報告しています。さらに悪いことに、エクスプロイト後に一般公開されている Empire フレームワークを利用することで、攻撃したネットワークを水平移動できる能力があるとことです。Empire によって、Dridex がネットワークへとさらに侵入することが可能になりますが、これは、あの悪名高い Mimikatz でもドメイン管理者アクセスを手に入れる手段として利用した方法です。ウォッチガードが四半期ごとに発表しているインターネットセキュリティレポートをお読みいただいた方であれば、Mimikatz がどれほどの猛威を振るってきたのかをご存知のことでしょう。管理者アクセスを手に入れた Bitpaymer は、ネットワークに侵入した後に Group Policy Objects を使って展開されます。

Ryuk は、前身である Hermes がベースになっており、Hermes は、さまざまなフォーラムから入手でき、多くの攻撃者に使われています。Ryuk は、GRIM SPIDER という攻撃グループにのみ使われており、企業ネットワークだけを標的にしています。Crowdstrike は、Ryuk は TrickBot を使って拡散していると考えています。また、Empire で PowerShell を巧妙に悪用することで、PowerShell のログを残さないようにするロジックも組み込まれています。

つまりは、古いマルウェアソースコードも常に修正され続け、今も利用にも耐えるよう改良されているということです。攻撃者は大量のマルウェア亜種を次々と作成し、Ryuk が企業環境を標的とする攻撃でのみ使われていることからわかるように、特定の少数の標的を狙っています。その一方で、マルウェアを送り込む手段として最も一般的なのがスパムメールであるのは明らかであることから、正しいユーザトレーニングが不可欠であることを再確認する必要があるでしょう。