Hijacked Admin Accounts Bring About Personalized Ransomware Attacks

TrendMicroの研究者らが報告したように、標的となる被害者をその名前で呼ぶランサムウェア攻撃が製造業を襲った。 2月18日の遅い時間に行われたとされ、PsExecコマンドラインツールを利用してBitPaymerランサムウェアの亜種を植え付け、管理者アカウントが管理者ユーザーアカウントをハイジャックしました。そのうえ、彼らは、 今月初めのアリゾナビバレッジ社に対するiEncryptランサムウェア攻撃と完全に一致する、身代金メモ自体に影響を受ける組織の名前を入れることを確実にしました。 BitPaymerと同様に、 iEncryptも身代金メモに犠牲者の名前を記載していました。これは、2つの脅威が関連している可能性があることを意味します。

以前のDridex感染により、攻撃は成功しました

TrendMicroのセキュリティチームによると、2月18日の感染は、担当のハッカーがEmpire PowerShellのエクスプロイトエージェントをランダムに管理された管理者レベルのマシンにリモートで展開する一連の失敗した試みの後に成功しました。ただし、その成功は、事前に発生しただけでなく、会社から認識されなくなった、以前のDridex感染によるものと考えられます。

アリゾナビバレッジの事件と2018年後半のいくつかの企業に対するいくつかの攻撃に加えて、これは身代金メモのまさにそのテキストの中でサイバー犯罪者が名前で被害者に対処した最新の機会です。さらに、同社の名前は、暗号化されたすべてのデータに追加されるファイル拡張子としても機能しました。しかし、そのメモが言っていることは、以下のテキストから明らかです。

こんにちは[犠牲者の名前]

あなたのネットワークはハッキングされ暗号化されていました。無料の復号化ソフトウェアはWeb上で利用できません。身代金の額を取得するには、[判読不能な文字] @ protonmail.com（または）[判読不能な文字] @ india.comに電子メールを送ってください。連絡先を安全に保管してください。開示された場合、復号化が不可能になる可能性があります。メールの件名としてあなたの会社名を使ってください。 TAIL：[ランダムな文字] KEY：[ランダムな文字]

身代金メモには、被害者の名前だけでなく暗号化キーも含まれています。後者が成功した復号化のための前提条件であるので。

名前と拡張子を付けて保存しても、コードは変わりません。

上記のように、セキュリティ研究者がBitPaymerのランサムウェア感染に遭遇したのは今回が初めてではありません。新しいケースには、まったく新しいBitPaymerの亜種もありません。コードを詳しく調べてみると、昨年の攻撃と比較して大きな違いはありません。唯一の変数は身代金メモで影響を受けた組織の名前であるように見えます。暗号化されたデータに「.locked」拡張子を追加した以前のBitPaymer感染とは異なり、2019年2月18日からの最新のものは代わりに犠牲者の名前を使用しました。

BitPaymerのランサムウェア攻撃は、sysadminツールに関しては保護策を強化する必要があることを強調しています。それらは常に悪用の試みの対象となるためです。. さらに、マルウェア対策ソリューションと一緒にアクティブな監視サービスを実行しても問題ありません。