Source: https://www.darkreading.com/threat-intelligence/emerging-yurei-ransomware-claims-first-victims
🛡 概要
新たに出現したユレイランサムウェアは、オープンソースのマルウェアを利用してダブルエクストーション攻撃を実行し、いくつかの犠牲者を出しています。このランサムウェアには欠陥があり、被害者が盗まれたデータを部分的に回復できる可能性があります。ユレイランサムウェアは、9月5日に初めて観測され、スリランカの食品製造会社であるミッドシティマーケティングをターゲットにしました。データ漏洩の犠牲者となった同社のデータは、脅迫攻撃の後に流出しました。ユレイのオペレーターはモロッコにいると考えられ、恐怖とデータ漏洩の潜在的な影響を利用して、被害者にランサムを支払わせることを目指しています。
🔍 技術詳細
ユレイランサムウェアは、GitHubで入手可能なオープンソースのPrince-Ransomwareバイナリをわずかに修正したバージョンを使用しています。このランサムウェアはGo言語で書かれており、AVツールによる検出が難しいという課題を提供します。また、CやC++よりも開発が容易であり、さまざまなプラットフォームにクロスコンパイルできる利点があります。このように、オープンソースマルウェアはサイバー犯罪者にとっての参入障壁を大幅に下げていることが指摘されています。ユレイは日本の伝説に登場する霊の名前を取り入れ、システムを暗号化するだけでなく、データを盗み出してランサムを要求する手法を取っています。
⚠ 影響
ユレイランサムウェアは、既存のWindowsのボリュームシャドウコピーサービス(VSS)によって生成されたシャドウコピーを削除しないという「重大な欠陥」を抱えています。このため、VSSが有効になっている場合、被害者はユレイとの交渉を行わなくても、以前のスナップショットからファイルを復元できる可能性があります。この欠陥は、サイバー犯罪者の洗練されていない操作を示しており、オープンソースのランサムウェアが初心者でも利用できることを示しています。しかし、データ漏洩に基づく脅迫が行われるため、企業にとっては深刻な影響を及ぼす可能性があります。
🛠 対策
ユレイランサムウェアの攻撃から組織を守るためには、VSSを有効にし、システムのスナップショットを継続的に取得することが重要です。また、ブログには攻撃の兆候を特定するための指標(IoC)が含まれています。データ漏洩とそのオンラインでの露出に基づく脅迫が増加しているため、運用の回復を助けるだけでなく、脅迫に対しても注意を払う必要があります。ユレイのブログによれば、被害者にランサムを支払わせる主要な圧力点はデータ漏洩の脅威であるため、企業は警戒を続け、最良のセキュリティプラクティスを維持することが求められます。