マルチプラットフォーム マルウェア フレームワークの MATA バックドアが VHD ランサムウェアで使用され、APT グループの Lazarus が .
Kaspersky の研究者は、ヨーロッパとアジアでの攻撃で VHD ランサムウェアの XNUMX つのケースを分析し、それらを悪名高い北朝鮮の APT グループ Lazarus に関連付けることができました。 ランサムウェアの開発とその金銭的動機の背景の両方が、グループによる戦略の変更を示しています。 どちらも、政府が支援する APT グループとしては非常に珍しいものです。
2020 年 XNUMX 月と XNUMX 月に、いわゆる VHD ランサムウェアの最初の報告がありました。このランサムウェアは、自己複製能力を特徴とし、被害者から金銭を強奪することを目的としています。 被害者固有の資格情報でコンパイルされたプログラムを使用してマルウェアを拡散することは、APT キャンペーンが行うことと似ています。 Kaspersky の研究者は、VHD ランサムウェアがフランスとアジアの企業に対して既知の Lazarus ツールと密接に関連して使用された事件を分析した後、ランサムウェアを Lazarus APT グループに関連付けることができました。
MATA マルチプラットフォーム マルウェア フレームワークのバックドアが支援者を公開
2020 年 XNUMX 月から XNUMX 月にかけて、Kaspersky の専門家は VHD ランサムウェアに関連する XNUMX つの独立した調査を実施しました。 ヨーロッパでの最初のインシデントでは、攻撃の背後に誰がいたかについての証拠はほとんどありませんでしたが、伝播手法は APT グループによって使用されたものと同様でした. 一般に、この攻撃は、大規模で重要な標的を狙った有名なグループの通常の手口とは一致していませんでした。 さらに、ランサムウェア マルウェアのサンプルと公表されたケースの数は非常に限られているため、このマルウェア ファミリは通常のようにアンダーグラウンド フォーラムで広く取引されていない可能性があります。
しかし、VHD ランサムウェアが使用された XNUMX 回目の攻撃では、感染チェーンを追跡することができました。 このようにして、研究者はマルウェアを Lazarus グループに関連付けることができました。 とりわけ、攻撃の背後にいる人々は、マルチプラットフォーム フレームワーク MATA の一部であるバックドアを使用していました。このバックドアは、Kaspersky が最近詳細に報告したものであり、コードとツールが類似しているため、この APT グループに割り当てられる可能性があります。 Kaspersky の遠隔測定データによると、MATA フレームワークに感染した被害者は、ドイツ、ポーランド、トルコ、韓国、日本、およびインドにいました。
暗号化トロイの木馬 VHD: 評価された攻撃からの発見
これらの調査結果は、これまでに検出された VHD ランサムウェア キャンペーンの背後に Lazarus が存在することを示唆しています。 使用されたランサムウェアは、グループ自体によって開発および運用されたものであり、これはサイバー犯罪環境では非常に珍しいものです。
Kaspersky の Global Research and Analysis Team (GReAT) のセキュリティ研究者である Ivan Kwiatkowski は次のようにコメントしています。 . 「このグループがランサムウェアに対するこの襲撃型のアプローチで他のサイバー犯罪者の効率に匹敵することができないことは明らかですが、彼らがこの種の攻撃に転向したことは心配です。 世界的なランサムウェアの脅威はすでに十分に大きく、多くの場合被害者に重大な経済的影響を与え、時には破産させています。 私たちが問うべき問題は、これらの攻撃が 4 回限りの実験なのか、それとも新しいトレンドの一部なのか、したがって民間企業が国家支援の攻撃者の餌食になることを心配する必要があるのかということです。 とにかく、組織はプライバシーがこれまで以上に重要であることを認識する必要があります。 重要なデータをバックアップし、リアクティブな防御に投資することは絶対に必要です。」
ランサムウェア攻撃から保護するためのカスペルスキーのヒント
- フィッシングがランサムウェアを拡散する方法と、ランサムウェアによる侵害を回避するために従業員が何に注意する必要があるかについて、従業員を教育します。 ここでは、Kaspersky Automated Security Awareness Platform などの特別なトレーニング コンセプトが役立ちます。
- 企業は、使用するすべてのソフトウェア ソリューション、アプリケーション、およびシステムが常に最新であることを確認する必要があります。 Kaspersky Vulnerability and Patch Management などの脆弱性およびパッチ管理機能を備えたセキュリティ ソリューションを使用すると、ネットワーク内のパッチが適用されていない脆弱性を特定するのに役立ちます。
- 自社のネットワークの定期的なサイバー セキュリティ監査を実施し、発見された脆弱性を排除します。
- すべてのエンドポイントとサーバーは、包括的なソリューションで保護する必要があります。 Kaspersky Integrated Endpoint Security などの対応するソリューションは、エンドポイント セキュリティをサンドボックスおよび EDR 機能と組み合わせて、既知および未知の脅威に対する保護を可能にします。
- セキュリティ チームは、脅威アクターやサイバー犯罪者が使用する新しいツール、技術、および戦術に遅れないように、常に最新の脅威インテリジェンス データを持っている必要があります。
- ランサムウェアは犯罪です。 したがって、被害者となった企業は、身代金の要求に応じたり、支払ったりするべきではありません。 代わりに、インシデントを地元の法執行機関に報告する必要があります。 さらに、無料の復号化ツールがあります。 nomoreransom.org必要に応じてデータを復元できる人。
詳細については、Kaspersky の Securelist.com をご覧ください。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。