ランサムウェア
ランサムウェア「Egregor」を操るサイバー犯罪グループのメンバーが逮捕
ランサムウェア「Egregor(エグレガー)」を操るメンバー3人が逮捕されました。「Egregor」は、「Ransomware as a Service」モデルによって運用されており、経験の浅いサイバー犯罪者であっても比較的容易に攻撃することを可能にしていました。今回の逮捕にはトレンドマイクロを含め複数のサイバーセキュリティ企業が法執行機関に協力しており、官民連携の1つの成果と言えます。
フランスおよびウクライナ当局によって2021年2月に実行された取り締まりにより、ランサムウェア「Egregor(エグレガー)」を操る「ランサムウェアカルテル」のメンバー3人が、ウクライナで逮捕されました。今回の逮捕にはトレンドマイクロを含め複数のサイバーセキュリティ企業が法執行機関に協力しており、官民連携の1つの成果と言えます。
■ランサムウェア「Egregor」とは
「Egregor」は、2020年9月に初めて確認されて以来、小売業者や人材サービス会社などの企業を標的とした攻撃で利用され、注目を集めてきました。このランサムウェアは、攻撃者グループが攻撃に利用できるランサムウェアをサービスとして提供する「Ransomware as a Service(ランサムウェアサービス、RaaS)」モデルによって運用されており、経験の浅いサイバー犯罪者であっても比較的容易に攻撃することを可能にしていました。Egregorも昨今のランサムウェアが使う手口と同様に「データが暗号化され復元できなくなる」に加え「窃取されたデータが外部に公開される」という「二重の脅迫」の手法を採用しています。
このランサムウェアは通常、有害なファイルが添付されたフィッシングメール経由で侵入した「QAKBOT」などのマルウェアの二次的なペイロードとして送り込まれます。また、リモートデスクトッププロトコル(RDP)またはVPNの脆弱性を利用した攻撃によるローカルネットワークへの直接侵入によっても拡散します。
■逮捕されたメンバー
フランスの法執行機関は、Egregorを操るサイバー犯罪者がフランスに拠点を置く物流・新聞・ゲーム開発会社などの複数の企業に攻撃を仕掛けたことを受けて捜査を開始しました。そして、フランス当局がウクライナ当局の協力を得て攻撃者を追跡した結果、3人の容疑者が逮捕されました。逮捕者の名前と正確な呼称は公表されていません。
フランス司法警察のコンピュータ・セキュリティ・インシデント対応チーム(CSIRT-PJ)の責任者であるFrançois B.氏は、この事件について「The Record」のメールインタビューに答え、トレンドマイクロなどのサイバーセキュリティおよびインシデント対応企業とのパートナーシップについて言及しました。同氏は連携企業が「進行中の事件に関する最も正確な情報と、ツールあるいは脅威インテリジェンスデータを提供してくれるため、積極的な捜査に役立っている」と述べています。
■ランサムウェアの被害に遭わないためには
今回の取り締まりによりランサムウェア「Egregor」を操るメンバーが逮捕されたものの、Egregorに限らず様々なランサムウェアがサイバー攻撃に悪用されていることから、これからもランサムウェアが脅威であることは変わらないでしょう。ランサムウェアからシステムを保護するために、ユーザは次のベストプラクティスに倣うことを推奨します。
- 不明な送信元からの電子メールの添付ファイルをダウンロードしない。また、メール本文に記載されたリンクを不用意にクリックしない
- オペレーティングシステム(OS)、プログラム、ソフトウェアの更新やアップデートを定期的に実行する
- 以下の3-2-1ルールに基づいて、定期的にファイルをバックアップする
- 3つ以上のバックアップ用コピーを作成する
- 2つの異なる種類の端末に保存する(例:ハードドライブおよびUSB)
- その1つは他の2つとは異なる場所で保存する
■トレンドマイクロの対策
昨今のランサムウェアは感染後直ちに発病する単体のマルウェアから金銭を脅し取るためのツールの一つとして標的型攻撃の中で悪用されるようになっています。そのことから、標的型攻撃を迅速に気づき対処することが有効です。
「Trend Micro XDR™」は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、トレンドマイクロのソリューションによって各組織から収集されたデータセットに、最も効果的な専門的分析を適用し、攻撃を特定して阻止するための迅速な対応を実現します。強力な人工知能(AI)と専門家によるセキュリティ分析により、お客様の環境から得られるデータとトレンドマイクロのグローバルな脅威インテリジェンスを相関させ、より少ない頻度で、より忠実度の高いアラートを配信し、さらなる早期発見を実現します。優先度の高い最適化されたアラートを1つのコンソールで提供し、ガイド付き調査でサポートすることで、攻撃の経路および組織へ及ぼす影響を完全に把握するために必要なステップを簡素化します。
参考記事:
• 「Alleged Members of Egregor Ransomware Cartel Arrested」
By: Trend Micro
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)