CYBER-BRIDGE INC.

menu
サイバー攻撃

ランサムウェア「Rakhni」マイニングのモジュールを追加

こんにちは。サイバーブリッジの久保田です。
一世を風靡した(?)ランサムウェアですが、最近では少し落ち着きを見せている感がありますね。
しかし、依然として高い水準で被害事例も出ています。落ち着いたり、慣れてきたときに被害にあうケースもありますので、改めて注意が必要ですね。

さて、先日マイナーに関するご紹介をさせていただきました。
実は、この動向に沿った動きを見せるランサムウェアが存在します。

インストールするコンポーネントをデバイスに応じて選ぶ?

ランサムウェア「Rakhni」は、攻撃に使用するコンポーネントの一つとして、仮想通貨マイニングモジュールを加えました。
ダウンローダー型のトロイの木馬である「Rakhni」は、相手の端末に応じてインストールするコンポーネントを自ら選択します。

これは非常に興味深いですね...
簡単にいうと、「この端末は仮想通貨のマイニングに使えそうだ!」と判断した場合は、「マイニングウイルスを入れてしまえ!!」となるわけです。

感染ルート

主にスパムメールから

セキュリティ会社のカスペルスキーによると、現在は主に、ロシア・カザフスタン・ウクライナ・ドイツ・インドで「Rakhini」を検知してるようです。

マルウェアはメールに添付された悪意のある実行ファイルとして拡散されます。主に金融系の文書になりすましています。
これは「Rakhini」の背後にいるサイバー犯罪者が、企業関係者を主要なターゲットとしていることと推測できます。


スパムメールに添付されているファイルの中に、PDFファイルがあります。編集を許可してPDFファイルを開こうとすると、発行元不明の実行ファイルを実行する許可を要求するシステムメッセージが表示されます。
これを許可すると、「Rakhni」が動き出します。

発行元不明の実行ファイルを実行する許可を要求するシステムメッセージ

マイニングさせるか暗号化を選択

選択基準はシンプル

仮想通貨のマイニングをするか、ファイルを暗号化して身代金を要求するか。選択基準はシンプルです。
標的のコンピューターに「Bitcoin関連」のフォルダが存在すれば、「Rakhni」はファイル(Office文書、PDF、画像、バックアップなど)を暗号化するランサムウェアのモジュールをダウンロードして実行し、3日以内の身代金支払いを要求します。金額など身代金の詳細はメールで送る、とされています。
*これは以前、に流行した身代金ウイルスと変わりはありません。

ここに新たな選択肢が加わる

デバイス内に「Bitcoin関連のフォルダ」が存在せず、そのデバイスが仮想通貨のマイニングに十分なパワーを備えていると判断された場合は、仮想通貨マイナーがダウンロードされます。マイナーは、バックグラウンドでひそかにMonero、Monero Original、またはDashcoinのトークンを生成し、活動を開始します。

この段階で、端末のCPUが利用され、マイニングに加担することになります。「パソコンが重い」「急にファンが回り出す」といった症状が見受けられた時は、注意が必要です。

被害にあわないためにはどうしたらいいの?

受信メールには注意

「Rakhni」は、悪意あるファイルが添付されたメールから感染しますので、受信したメールには注意を払いましょう。特に、見覚えのないメールアドレスから送られたメールは、十分に警戒してください。添付ファイルを開くべきかどうか少しでも迷う場合は、開かないでください。
個人では判断がつけられないケースや不安な場合は、「Check Point SandBlast Agent」などの外部ツールなどに頼るのも選択肢の一つでしょう。

また、OSが警告メッセージを表示したら内容を確認し、発行元が不明なアプリケーションは極力実行しないようにしましょう。特に、よく使われているアプリケーションと似た名前が付いたアプリケーションの場合は注意が必要です。

OSの警告メッセージ OSの警告メッセージ

役に立つ対策

トレーニングと情報の共有

まずは、日々のセキュリティ意識を高めるために、セキュリティ情報の共有トレーニングを行うことが大切です。

「我が社は大丈夫だよ!」といった慢心が、一番危険です。セキュリティ対策に関する意識を高めていくことが必要となります。

バックアップ

これはよく言われることで、多くの方が既に行っていると思いますが、「重要データのバックアップ」は万が一インシデントが発生した際に大変役に立ちます。

ネットワークに接続されていない、独立したストレージメディアに保存することを意識しましょう。

定期的なセキュリティスキャンの実施

パソコン端末等にインストールされている、セキュリティソフトを活用して、定期的なスキャンを実行することをおすすめします。

ソフトは様々なものがありますが、ふるまい分析機能などを備えた、実績のあるものが望ましいです。

企業ネットワークの定期チェック

ネットワークの定期チェックもとても重要です。

・通常と比べて、通信量に異常が見受けられないか?

・セキュリティログに異常は見受けられないか?

・C&Cサーバ等、外部とのセッションは見受けられないか?


このように定期的なネットワーク側のチェックも有効になります。

最新化

メールからの感染経路がほとんどなので、今回は直接関係ありませんが、OSなどの各種ソフトウェアは常に最新の状態を保っておきましょう。

2018年7月25日
 

他社様との相見積も歓迎!まずはご相談ください!!

\お急ぎの方はお気軽にお電話ください/

043-306-3735

【受付時間】09:00〜18:00 (土日祝日・夏季休暇・年末年始は休み)