Maria Patricia Revilla Dacuno (マリア・パトリシア・レヴィラ・ダクノ), 戦術防衛ユニットリサーチャー
2020年に観測されたいくつかの展開により、2021年のランサムウェア攻撃はさらに進化を遂げるものと推察されます。
今年は、仮想化ソフトウェア「Oracle VirtualBox」が実行されている仮想マシンを利用することで、EPP製品によるファイル検知を回避するランサムウェア攻撃を展開する「Ragnar Locker」と「Maze」ランサムウェアが観測されました。 仮想マシンの外で動作しているEPP製品からみると、「Ragnar Locker」による攻撃も「Oracle VirtualBoxによる正規のプロセス」としてしか認識されないため、攻撃の検知を極めて難しくしています。そのため、他のランサムウェアファミリーも同じ手法を踏襲する可能性があり、また、他の攻撃者が、異なるタイプのEPP技術によってブロックされることを避けるために、新たな回避手法を開発すると考えるのが妥当です。
マルウェアファミリーの一種で、Trickbotの配信 (その後Ryukランサムウェアを配信)で悪名を馳せたEmotetは、2020年のスパムキャンペーンにおいて、改良されたソーシャルエンジニアリング戦術を駆使しました。また、研究者たちの調査により、攻撃者は新しいモジュールを使って、Eメールのコンテンツだけでなく、添付ファイルも盗み出していることが判明しました。 そして、盗まれた添付ファイルは、「Eメールスレッドのハイジャック」手法として使用されていることが観測されています。これにより、盗まれた文書に含まれる読取可能な情報が悪意のある文書に再利用され、なりすましメールの信ぴょう性を高めることになります。 Emotetの高度なコンテンツ窃盗能力を考慮すると、攻撃者は収集した情報に基づいて攻撃をカスタマイズする方法をさらに考えつくのではないかと想像できます。さらに、Emotetのスパムキャンペーンでは、セキュリティ製品が悪意のあるドキュメントをスキャンするのを回避するために、パスワードで保護されたアーカイブを使用するようになりました。これら展開はすべて、Emotetのオペレーターが攻撃をより効果的にするための努力を示しています。防御側は、攻撃側の新たな展開に備える必要があります。
もう一つの重要な進展は、Ryukランサムウェアを展開するための新しいローダーである、「Buer」と「BazarLoader」が発見されたことです。 Emotetの威力の大きさが実証されたことが、新しい「ローダー・アズ・ア・サービス」につながったものと推測されます。Emotetが侵害されたWebサイトを使用していたのに対して、2つの新しいローダーは、ペイロードを配信するためにGoogle Docsなどのクラウドストレージを使用しています。 攻撃者は、検知を避けるために新しい手法で新しいローダーを試しているのかもしれませんし、攻撃のオペレーターによる競争力のある価格設定が原因かもしれません。 しかしどのような理由であれ、ランサムウェアの脅威アクターに新しいサービスを提供するプレーヤーが増えることは間違いないでしょう。
