サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

ロシア発の新型ランサムウェア「Underground」の脅威

Undergroundランサムウェアとは?

2023年7月、サイバーセキュリティの世界に新たな脅威が登場しました。その名も「Underground」ランサムウェアです。このマルウェアは、Windowsデバイスを標的とし、他の一般的なランサムウェアと同様に、ファイルを暗号化して身代金を要求します。

しかし、Undergroundの特徴は、その背後にいる攻撃者グループにあります。「Storm-0978」または「RomComグループ」として知られるこのロシアを拠点とする組織は、単なるサイバー犯罪だけでなく、スパイ活動も行っているとされています。

Undergroundの感染経路と攻撃手法

Storm-0978グループの主な攻撃手法は以下の通りです:

  1. 改変した正規ソフトウェアを使用して組織のシステムに侵入
  2. RomComと呼ばれるリモートアクセス型トロイの木馬をインストール
  3. バックドア(裏口)を作成して長期的なアクセスを確保

さらに、2023年7月に発見されたMicrosoft製品の脆弱性(CVE-2023-36884)を悪用した攻撃も確認されています。この脆弱性は、Microsoft OfficeとWindows HTMLに存在し、欧米の防衛関連組織や政府機関が標的となりました。

Undergroundランサムウェアの動作プロセス

Undergroundランサムウェアが感染すると、以下のような一連のプロセスが実行されます:

  1. シャドーコピーの削除: データ復元用のバックアップを無効化
  2. リモートアクセスの設定変更: セッション維持時間を14日間に延長
  3. Microsoft SQL Serverの停止: データベースファイルの暗号化を可能に
  4. ランサムノートの作成: 「!!readme!!!.txt」という名前のファイルを生成
  5. データの窃取と暗号化: ファイルを盗み出した上で暗号化を実行
  6. 痕跡の消去: ランサムウェアファイルとWindowsイベントログを削除

注目すべき点は、Undergroundが暗号化したファイルの拡張子を変更しないことです。これにより、被害の発見が遅れる可能性があります。

企業が取るべき対策

Undergroundのような新型ランサムウェアから組織を守るためには、以下の対策が重要です:

  1. パッチ管理の徹底: 特に重要な脆弱性(CVE-2023-36884など)には迅速に対応
  2. 多層防御の実装: ファイアウォール、アンチウイルス、EDR(Endpoint Detection and Response)など複数の防御層を設置
  3. バックアップの強化: オフラインバックアップを含む複数のバックアップ戦略を採用
  4. 従業員教育: フィッシングメールや不審なファイルに対する警戒心を高める
  5. アクセス制御の強化: 最小権限の原則に基づいたアクセス管理を実施
  6. ネットワークセグメンテーション: 重要システムを分離し、被害の拡大を防ぐ
  7. インシデント対応計画の策定: ランサムウェア攻撃を想定した訓練を定期的に実施

Undergroundランサムウェアの出現は、サイバー攻撃の脅威が進化し続けていることを示しています。企業は常に最新の脅威情報を収集し、セキュリティ対策を更新し続ける必要があります。 適切な対策と心構えがあれば、ランサムウェアのような脅威からビジネスを守ることは可能です。

今回紹介した情報を参考に、自社のセキュリティ態勢を見直してみてはいかがでしょうか。

Japan Cyber Security Inc. All Rights Reserved.