Traders Ransomware
ランサムウェアは、個人や組織が直面する最も急速に広がり、最も破壊的な脅威の一つです。一度侵入に成功すると、何年もかけて蓄積されたデータが暗号化され、個人情報が漏洩し、多大な損害をもたらすダウンタイムが発生する可能性があります。活発なランサムウェアに関する最新情報を常に把握し、多層防御を適用することで、攻撃の発生確率と影響を大幅に低減できます。
脅威プロファイル - 「トレーダー」とは何ですか?
Tradersは、セキュリティアナリストが脅威ハンティングやマルウェア調査の際に確認したファイル暗号化型ランサムウェアです。システムに侵入すると、ユーザーデータを暗号化し、人質となったファイルに印を付けるためにファイル名を変更します。その後、攻撃者は復号鍵と引き換えに身代金を要求し、データ漏洩の脅迫によって圧力をかけます。
個別のファイルマーカー - データの名前変更方法
暗号化後、Tradersは影響を受ける各ファイルに被害者固有の識別子と「.traders」拡張子を追加します。パターンには被害者のIDが中括弧で囲まれているため、複数のフォルダにまたがって侵入を容易に特定できます。例えば、以下のようになります。
- 1.png は 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders になります。
- 2.pdf は 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders になります。
身代金要求書 — 攻撃者の要求と主張
Tradersは「README.TXT」というメモを投下します。このメッセージには、文書、写真、データベース、その他の重要なファイルが暗号化されたことが記載されており、復元には攻撃者が保有する固有の秘密鍵が必要であると主張されています。このメモは、不適切なツールを使用するとデータが不可逆的に破損する可能性があることを警告し、自力での復号を阻止しています。連絡先、メールアドレス(「traders@mailum.com」)、そして被害者が交渉するためのSessionメッセンジャーIDが記載されています。
二重の恐喝 — データ窃盗を手段として
暗号化に加え、この脅迫状では、身代金を支払わない場合は盗み出したデータを売却または公開すると脅迫している。この「二重の恐喝」戦術は、バックアップに頼る被害者に対し、風評、法的リスク、プライバシーリスクを加味することで、脅迫を強要しようとするものだ。
回復の現実 — 実際に役立つもの
最新のランサムウェアによってロックされたファイルは、通常、攻撃者の復号ツールがなければ復元できません。現実的な復元方法は、インシデント発生時にアクセスできなかったクリーンなオフラインバックアップに限られます。身代金の支払いは絶対に避けてください。有効な復号ツールが受け取れる保証はなく、身代金の支払いはさらなる犯罪行為を助長することになります。
封じ込めと根絶 - 即時の行動
Traders が検出された場合は、影響を受けたマシンを直ちにネットワークから隔離し、さらなる暗号化と横方向の拡散を阻止してください。身代金要求メッセージ、暗号化されたファイルのサンプル、関連ログなどのフォレンジックアーティファクトを保管してください。信頼できるマルウェア対策/EDRソリューションを使用して、ペイロードと永続化メカニズムを削除してください。駆除後、侵害されたシステムを再構築または再イメージ化し、認証情報をローテーションし、アクセスキーとトークンを監査してください。その後、再感染を注意深く監視しながら、検証済みのバックアップからデータの復元を開始してください。
初期アクセスと配信 - トレーダーがシステムにアクセスする方法
多くのランサムウェアファミリーと同様に、Tradersは複数の経路を通じて拡散します。一般的な侵入経路としては、悪意のあるメールの添付ファイルやリンク、トロイの木馬化されたソフトウェアや海賊版ソフトウェア(キージェネレータやクラック版を含む)、偽のテクニカルサポートへの誘導、未修正の脆弱性の悪用などが挙げられます。また、マルバタイジング、侵害されたウェブサイトや類似ウェブサイト、感染したリムーバブルメディア、P2Pネットワーク、サードパーティのダウンロードポータル、そして実行可能インストーラ、マクロやスクリプトが埋め込まれたOffice文書やPDF文書、ドロッパーを解凍する圧縮アーカイブ(ZIP/RAR)といった、仕掛けられたファイル形式も悪用されます。
防御を強化する - 必須のセキュリティ対策
- オフライン バックアップを維持します。
- 速やかにパッチを適用してください。インターネットに接続されたサービスを優先し、可能な場合は自動更新を有効にしてください。
- リアルタイム保護、動作ブロック、制御されたフォルダー アクセスを備えた評判の高いセキュリティ ソフトウェアを導入します。
- RDPとリモートアクセスを強化します。不要な場合は無効化し、許可リスト/VPNで制限し、MFAを必須にし、ブルートフォース攻撃や異常なログインを監視します。
- 危険なマクロとスクリプトを無効化します。インターネットからのOfficeマクロをブロックし、管理者以外のユーザーに対してPowerShellを制限言語モードに制限し、スクリプトの実行を監査します。
- ブラウザとダウンロードを安全にご利用ください。信頼できるサービスのみを使用し、既知の悪質なドメインをブロックし、サードパーティのダウンローダーやP2Pソースを避けてください。
最後に
トレーダーズランサムウェアは強力な暗号化と恐喝の圧力を併せ持つため、事前の準備が最善の防御策となります。システムにパッチを適用し、最小権限アクセスを強制し、効果的なエンドポイント保護を導入し、ネットワークをセグメント化し、そして最も重要なのは、テスト済みのオフラインバックアップを維持することです。既に被害に遭っている場合は、身代金の支払いではなく、封じ込めと専門家による修復に注力してください。
