各種マルウェアの検知・ブロックについて

以下のランサムウェアなどのマルウェアについて、本製品で検知・ブロックできることを確認済です。(2021年11月時点)
また、メーカーの脅威分析チームでは継続的に新しいサンプルを入手し、亜種についても製品の有効性の確認を継続して行っています。

ランサムウェア
「LockBit 2.0」

2021年7月頃から、ランサムウェア「LockBit 2.0」による被害が拡大しています。

LockBitは、2019年に初めて確認されたランサムウェアであり、攻撃グループの名称でもあります。2021年6月頃にLockBit2.0へアップデートされ、日本国内を含め世界で感染が広がっており今後の動向が注目されています。
LockBit2.0は、RaaSとして提供される暴露型のランサムウェアです。主に、サーバーなどネットワーク機器の脆弱性を悪用して侵入し、感染した場合にはファイルが暗号化され、拡張子が「.lockbit」に変更されます。ドメインコントローラーを乗っ取りネットワーク内に拡散する点、暗号化が高速である点に加え、ネットワーク上のプリンターへアクセスして身代金要求のメッセージを繰り返し印刷させようとする点が特徴です。

<BlackBerry ThreatVector Blog>
脅威のスポットライト:LockBit 2.0 ランサムウェア、大手コンサルティング会社を狙う

ランサムウェア 「DarkSide」

ランサムウェア「DarkSide」は、2020年8月頃より活動が確認されています。

DarkSideは、暴露型のランサムウェアであり、攻撃グループの名称でもあります。
フィッシングやRDP(Remote Desktop Protocol)、既知の脆弱性の悪用といったさまざまな手法でターゲット組織への侵入を試みます。組織内に侵入し、内部の偵察や資産情報の窃取を行った後、端末やサーバーへ本格的な攻撃を展開します。Windowsだけでなく、Linuxも標的としています。攻撃グループ「Darkside」は2021年5月に活動停止を表明していますが、名前を変えて活動を再開する可能性もあると考えられています。

<BlackBerry ThreatVector Blog>
BlackBerry、ランサムウェア「DarkSide」を未然に防御 - 攻撃が発生する数年前から既に防御可能な状態

ランサムウェア 「REvil」

ランサムウェア「REvil」は2019年4月頃より活動が確認されています。

REvil(「Sodin」や「Sodinokibi」とも呼ばれる)は、RaaSで提供される、高度な暗号化技術を特徴とした暴露型のランサムウェアであり、攻撃グループの名称でもあります。
フィッシングやRDP(Remote Desktop Protocol)、デスクトップ共有ソフトウェア、VPN機器の脆弱性の悪用など、さまざまな手法により感染します。攻撃者はREvilに独自のツールなどを追加して攻撃できるため、攻撃対象の組織にあわせた多様な攻撃が可能です。

<BlackBerry ThreatVector Blog>
BlackBerry、REvil ランサムウェアを阻止

ランサムウェア 「Conti」

2020年5月頃より、ランサムウェア「Conti」による感染が確認され、北米を中心に世界で多くの被害が広がっています。

RaaSで提供される暴露型のランサムウェア「Conti」は、登場以来、何度もアップデートされており、進化した亜種も複数存在します。
TrickBotやIcedIDなどの他のマルウェアを介して侵入し、時には長期間にわたり組織内を偵察した後、機密情報を見つけ出します。データの暗号化速度が速く、ファイルやプリンター共有のプロトコルを介してネットワーク上へ拡散される点が特徴です。

<BlackBerry ThreatVector Blog>
BlackBerry が Contiランサムウェアを阻止

ランサムウェア
「Ragnar Locker」

2020年11月、ランサムウェア「Ragnar Locker」による感染被害が報じられました。

Ragnar Lockerは、新しいタイプのランサムウェアであり、攻撃グループの名称でもあります。感染すると、一般的なランサムウェアと同様にデータを暗号化し身代金の支払いを迫ります。支払いを拒否すると、窃取した情報を公開すると脅迫します。
このように、データを暗号化するだけでなく機密情報を暴露すると脅し、金銭を要求するランサムウェアは「暴露型ウイルス」とも呼ばれます。

マルウェア 「IcedID」

2020年10月末頃から、「IcedID」と呼ばれるマルウェアの被害が日本国内で広がっています。

IcedIDは、正規の送信元メールアドレスを装った日本語のスパムメールによって拡散されています。ZIPで圧縮されたWordファイルなどが添付されており、添付ファイルを開くと悪意のあるマクロが実行され、マクロによりダウンロードされる別の不正プログラムを通じてIcedIDがダウンロードされ感染します。
感染すると、メールクライアントやブラウザーの認証情報が窃取され、連絡先に登録されているメールアドレスに不正メールやなりすましメールを送り付けることで拡散していきます。また元々はバンキングトロイとして知られており、金融取引に関する情報を窃取されることもあります。

<BlackBerry ThreatVector Blog>
ブラックベリーサイランスvs. IcedIDバンキングトロイ

マルウェア 「Emotet」

Emotetは以前から存在するマルウェアですが、2020年7月中旬以降、その活動が活発化しています。

Emotetは、実際の業務メールそっくりの内容を用いたメールに、Emotetをダウンロードさせるための悪意あるファイルを添付して送りつけることで感染を試みます。
Emotetの特徴や攻撃の流れなど、詳細はトータルセキュリティソリューション「Emotetへの対応について」をご参照ください。

<BlackBerry ThreatVector Blog>
Cylance vs. Emotet Infostealer Malware
Cylance vs. Updated Emotet

ランサムウェア 「WannaCry」

2017年5月12日頃より 「WannaCry」(※1)と呼ばれるランサムウェアやその亜種による被害が、世界各国で報じられました。

感染すると端末内のファイルが暗号化され、復号のために金銭を要求する日本語のメッセージが表示されます。
また、Windows SMB(※2)のリモートでコードが実行される脆弱性「CVE-2017-0145」を悪用しており、ネットワーク内での感染が拡大する恐れがあります。日本語以外にもさまざまな言語に対応しており、世界規模で攻撃が展開されています。

※1:WannaCry-WanaCrypt0r 2.0、Wanna Cryptor、WannaCryptor、Wcryなどとも呼ばれている

※2:Windows SMBとはネットワーク(LAN)上の複数のWindowsコンピュータの間でファイル共有やプリンタ共有などを行うためのプロトコルおよび通信サービス

ランサムウェア
「Petya」の亜種

2017年6月27日頃よりランサムウェア「Petya」の亜種(※3)による被害が、欧州を中心に世界各国で報じられました。

WannaCryなどの一般的なファイルを暗号化するランサムウェアと異なり、マスターブートレコード(MBR)(※4)を標的としており、感染するとファイルシステム自体を暗号化し、再起動後に暗号化メッセージを画面全体に表示します。
動作として、「Petya」と呼ばれるランサムウェアファミリーに酷似していますが、感染すると端末内のファイルが暗号化され、復号のために金銭を要求するメッセージが表示されます。WannaCryの拡散でも使われた、米国国家安全保障局(NSA)のエクスプロイトである「EternalBlue」をベースとしたワーム機能も持っており、感染すると他の端末にも感染が拡大する恐れがあります。

※3:GoldenEye、PetyaWrap、Petya-Wrap、Petya-likeなどとも呼ばれている

※4:マスターブートレコードとは、単数または複数のパーティションに分けられたディスクにおいて、先頭部分にあるパソコンの起動に関する情報がかかれたセクター

ランサムウェア 「Oni」

2017年6月20日頃より「Oni」と呼ばれる新しいランサムウェアによる被害が、日本国内にて確認されています。

感染の対象はWindows OSで、ファイルのオリジナルの拡張子の語尾に「.oni」を付け加えます。

感染すると端末内のファイルが暗号化されます。暗号化後もファイルの識別は可能ですが、復号のために金銭を要求するメッセージが表示されます。ワーム機能も持っており、感染すると他の端末にも感染が拡大する恐れがあります。

ランサムウェア 「SamSam」

2015年後半以降から「SamSam」と呼ばれる主に医療機関や行政機関を標的にしたランサムウェアによる被害が増えています。

SamSamは、一般的なメール経由での感染とは異なり、RDP(Remote Desktop Protocol)を悪用して被害組織に侵入します。
また攻撃者は内部に侵入すると、ファイルを暗号化する前に、悪用できる脆弱性を探して内部での感染を広げます。そしてネットワーク全体を掌握した状態で、復号の鍵と引き換えに身代金を要求します。

ランサムウェア 「Satan」

2017年1月頃に「Satan」と呼ばれる新しいランサムウェアがRaaS市場で確認されました。

Satanは、パソコン内にあるファイルを強力に暗号化し、ビットコインで身代金を支払うように指示します。
Satanはサービスとして提供されているランサムウェアで、提供サイトのアカウントを作成することで誰でも作成できます。またサービスの代金は身代金の一部で支払うため初期費用が不要で、より多くのサイバー犯罪者に感心を持たせる一因となっています。

次世代マルウェア対策 CylancePROTECT® コンテンツ一覧

関連商品・キーワード