マネーバード ランサムウェア
ピンクサンドストーム、旧名アメリシウムとしても知られるイランのハッカーグループ「アグリアス」は、最近「マネーバード」と呼ばれる新種のランサムウェアを開発した。この脅威的なマルウェアは特にイスラエルの組織をターゲットにしていることが観察されており、Agrius の戦術の大きな変化を示しています。
目次
サイバー犯罪者が脅威の武器を拡大
アグリウスには、イスラエルの組織に対して破壊的なデータ消去攻撃を実行し、しばしばランサムウェア事件に見せかけた経歴がある。 C++ でコード化された Moneybird の登場は、グループの専門知識の拡大と、新しいサイバー ツールの作成に対する継続的な取り組みを示しています。
このグループの活動は少なくとも2020年12月まで遡ることができ、アグリウスは南アフリカ、イスラエル、香港のダイヤモンド産業を標的とした侵入試みの妨害に関与していた。以前、Agrius は、.NET Framework をベースにした Apostle と呼ばれるワイパーと化したランサムウェアと、その後継である Fantasy を利用していました。ただし、Moneybird は、C++ プログラミング言語を通じて進化するサイバー機能を示すため、グループにとって重要な進歩を表しています。
脅威アクターはセキュリティの脆弱性を悪用してアクセスを取得します
Moneybird ランサムウェアが採用する攻撃手法は、インターネットに接続された Web サーバーに存在する脆弱性の悪用から始まり、高度なレベルの巧妙さを示しています。この最初の悪用により、攻撃者は、ASPXSpy Web シェルの展開によって促進され、標的の組織のネットワークへの重要なエントリ ポイントが与えられます。
Web シェルは、侵害されたネットワークに入ると、攻撃者が被害者の環境の大規模な偵察を行うために特別に調整されたさまざまな既知のツールを実行するための通信チャネルとして機能します。これらのツールを使用すると、攻撃者はネットワーク内を横方向に移動し、貴重な資格情報を収集し、機密データを持ち出すことができます。
Moneybird ランサムウェアには高度な暗号化機能が搭載されています
最初の侵入と偵察フェーズに続いて、Moneybird ランサムウェアが侵害されたホスト上でアクティブ化されます。このランサムウェアは、「F:\User Shares」フォルダー内にある機密ファイルの暗号化に特に重点を置いて設計されています。ランサムウェアは実行されると身代金メモを展開し、被害者に 24 時間以内に連絡を確立するよう強い圧力をかけ、盗まれたデータが一般に漏洩する可能性があることを警告します。
Moneybird ランサムウェアは、GCM (ガロア/カウンター モード) で AES-256 を利用する、非常に高度な暗号化手法を採用しています。この高度な暗号化技術は、ファイルごとに一意の暗号化キーを生成し、暗号化されたメタデータを最後に追加します。 Moneybird によって実装された正確なターゲティングと堅牢な暗号化により、ほとんどの場合、データの復元とファイルの復号化のタスクが、ほぼ不可能ではないにしても、非常に困難になります。
ランサムウェア攻撃を阻止するための重要なセキュリティ対策
効果的なセキュリティ対策を実装して、デバイスとデータをランサムウェア攻撃から保護できます。まず、最新かつ堅牢なセキュリティ ソフトウェアを維持することが不可欠です。マルウェア対策プログラムを定期的に更新し、自動更新を有効にすると、最新の脅威から保護することができます。
すべてのアカウントに強力で一意のパスワードを実装することも、重要なステップです。これには、文字、数字、記号の組み合わせを使用すること、および一般的で推測されやすいパスワードを避けることが含まれます。さらに、多要素認証を有効にすると、アカウントにアクセスするために追加の検証手順が必要となり、セキュリティ層が追加されます。
ランサムウェア攻撃の影響を軽減するには、関連データを定期的にバックアップすることが不可欠です。オフライン バックアップを作成するか、クラウド ストレージ ソリューションを使用すると、暗号化または紛失した場合でも重要なファイルを確実に復元できます。
インターネットの閲覧や電子メールのやり取りには注意が必要です。ユーザーは、疑わしいリンクをクリックしたり、信頼できないソースからファイルをダウンロードしたりする場合には、疑念を抱く必要があります。ランサムウェアのペイロードが含まれている可能性があるため、危険をもたらす可能性のある Web サイトにアクセスしたり、不審な電子メールにアクセスしたりしないように、注意を払うことが重要です。
自己啓発し、最新のサイバーセキュリティの脅威と攻撃手法についての情報を常に入手しておくことは、非常に有益です。フィッシング攻撃で使用される一般的なソーシャル エンジニアリング戦術を認識し、潜在的なランサムウェア感染の兆候を認識することは、ユーザーがそのような攻撃を予防して対応するための事前の措置を講じるのに役立ちます。
オペレーティング システム、アプリケーション、ファームウェアを定期的に更新することも、強力なセキュリティを維持するための重要な側面です。パッチやアップデートには、ランサムウェアやその他のマルウェアによって悪用される可能性のある脆弱性に対処するセキュリティ修正が含まれることがよくあります。
これらのセキュリティ対策を組み合わせて実行することで、ユーザーはランサムウェア攻撃の壊滅的な影響に対するデバイスとデータの保護を強化できます。
