Last Updated on 2024-07-04 04:23 by 門倉 朋宏
新たなランサムウェア「Volcano Demon」が登場し、これまでに見られなかったロッカーマルウェア「LukaLocker」を使用している。このマルウェアは、被害者のファイルを.nbaファイル拡張子で暗号化する。攻撃者は、被害者のログを消去し、”No Caller ID”の電話番号から脅迫的な電話をかけて身代金の交渉を行うなど、検出とフォレンジック調査を困難にする複数の回避策を用いている。Volcano Demonはデータを盗んだ後に公開するウェブサイトを持たず、二重の身代金要求戦術を使用している。
攻撃では、被害者のネットワークから収集した一般的な管理者の認証情報を使用してLinux版のLukaLockerをロードし、Windowsのワークステーションとサーバーを成功裏にロックした。また、ランサムウェア展開前にデータを自身のコマンドアンドコントロールサーバーに抽出し、二重の身代金要求を可能にした。身代金の要求メモでは、被害者にqToxメッセージングソフトウェアを通じて攻撃者に連絡し、技術サポートからの折り返しの電話を待つよう指示している。
LukaLockerは、APIの難読化と動的API解決を使用して悪意のある機能を隠し、検出、分析、リバースエンジニアリングを回避する。また、特定のセキュリティおよび監視サービスをネットワーク上で即座に終了させる機能を持ち、これは過去に活動していたが現在は活動を停止しているContiランサムウェアからコピーされた可能性がある。暗号化にはChacha8暗号を使用し、Elliptic-curve Diffie-Hellman (ECDH) キー合意アルゴリズムを介してChacha8キーとnonceをランダムに生成する。ファイルは完全に、または50%、20%、10%の異なる割合で暗号化される。
Halcyonチームは、Volcano Demonの広範な回避能力のため、攻撃の完全なフォレンジック分析が困難であり、脅威アクターが標的とした組織の種類は明らかにしていない。しかし、攻撃者の様々な侵害指標(IoC)を特定し、その一部はVirus Totalにアップロードされている。
【ニュース解説】
最近、セキュリティ研究チームHalcyonによって発見された新たなランサムウェア「Volcano Demon」が、これまでにない手法を用いた攻撃で注目を集めています。このランサムウェアは「LukaLocker」と名付けられたロッカーマルウェアを使用し、被害者のファイルを.nbaという拡張子で暗号化します。特に注目すべきは、攻撃者が検出やフォレンジック調査を困難にするために採用している複数の回避策です。これには、被害者のログを消去することや、身元不明の電話番号から脅迫的な電話をかけて身代金の交渉を行うことなどが含まれます。
Volcano Demonは、被害者のネットワークから収集した管理者の認証情報を利用してLinux版のLukaLockerを展開し、Windowsのワークステーションとサーバーをロックします。さらに、ランサムウェアを展開する前に、被害者のデータを自身のコマンドアンドコントロールサーバーに抽出し、二重の身代金要求を行うことが可能です。身代金要求の際には、qToxメッセージングソフトウェアを通じて攻撃者に連絡し、技術サポートからの折り返しの電話を待つよう指示されます。
LukaLockerは、APIの難読化や動的API解決を駆使して、その悪意ある機能を隠し、検出や分析、リバースエンジニアリングを困難にします。また、特定のセキュリティや監視サービスを即座に終了させる機能を持ち、これは過去に活動していたContiランサムウェアからの影響を受けている可能性があります。暗号化にはChacha8暗号を使用し、Elliptic-curve Diffie-Hellman (ECDH) キー合意アルゴリズムを介してChacha8キーとnonceをランダムに生成します。これにより、ファイルは完全に、または50%、20%、10%の異なる割合で暗号化されます。
このランサムウェアの攻撃は、その高度な回避技術により、セキュリティ研究者たちにとって完全なフォレンジック分析を行うことが非常に困難です。Halcyonチームは、攻撃者の侵害指標(IoC)を特定しましたが、攻撃された組織の種類については明らかにしていません。
このランサムウェアの出現は、サイバーセキュリティの世界において新たな脅威の形態を示しています。攻撃者がより巧妙な手法を用いて検出を避け、被害者とのコミュニケーションを困難にすることで、セキュリティ対策の強化と新たな防御手法の開発が急務となっています。また、ランサムウェア攻撃の増加は、企業や組織がデータのバックアップと復旧計画を確実に行うことの重要性を再認識させます。さらに、このような攻撃は、サイバーセキュリティ教育と従業員の意識向上にも焦点を当てる必要があることを示しています。最終的に、Volcano Demonのような脅威に対抗するためには、技術的な対策だけでなく、組織全体のセキュリティ文化を強化することが不可欠です。
from Ransomware Eruption: Novel Locker Malware Flows From ‘Volcano Demon'.
