CRYSIS Ransomwareが復活し、詐欺師がRDP攻撃を再び利用

CRYSISリモートデスクトッププロトコル(RDP)を介したブルートフォースを活用したRansomwareの攻撃は、引き続き進行中であり、主に米国の企業をヘルスケア対象としています。

CRYSISのトランスクリプトを覚えていますか? これは、昨年の脅威環境に登場したトランスクリプトであり、現在、トレンドマイクロの研究者は、CRYSISのトランスクリプトがリモートデスクトッププロトコル(RDP)ブルートフォース攻撃によって配布されていることを発見しました。

2016年9月、オーストラリアとニュージーランドのビジネスを標的にした詐欺師と同じ手法でマルウェアが拡散しました。 現在、サイバー犯罪者は世界中の組織をターゲットにしています。

トレンドマイクロの研究者は、2017年1月に前回と比較してCRYSISのトランスクリプト感染の数が大幅に増加したことを確認しました。 最後の攻撃の波は、主に医療業界の米国組織を対象としていました。

「実際、これらの攻撃の数量は、2017年1月に2016年後半の比較可能な期間から倍増しました。さまざまな分野に影響がありましたが、最も一貫して目標は米国のヘルスケア部門でした。 トレンドマイクロが発行しています。

研究者は、2つのキャンペーンの背後には同じ脅威の俳優がいると信じています。

「同じ攻撃者グループが以前の攻撃と現在のキャンペーンの背後にいると我々は考えている。使用されているファイル名は各地域で一貫しています。この攻撃の他の部分(悪意のあるファイルが侵害されたマシンに流出する場所など)も一貫しています。

攻撃者は、リモートPC上で共有されたフォルダを使用して、マルウェアをマシンから転送しました。場合によっては、クリップボードを使用してファイルを転送していました。

どちらの方法でも、攻撃者のローカルリソースがリモートマシンに公開され、その逆もあります。

研究者らは、一般的に使用されている資格情報で複数のログイン試行を観察し、攻撃者が正しいユーザー名とパスワードが通常、短期間に複数回戻ってエンドポイントに感染しようとしたと判断した。

ある特定のケースでは、CRYSISが10分以内にエンドポイントに6回(異なる方法でパックされた)展開されたことがわかりました。コピーされたファイルを上書きしたとき、最初の妥協を試みた時点から30日の間にさまざまな時点で作成されました。攻撃者には複数のファイルがあり、うまくいくものが見つかるまでさまざまなペイロードを試していました」と報告書には述べています。

これらの方法は、明らかに、攻撃者のローカルリソースをリモートマシンに公開し、逆もまた同様です。

たとえば、共有ドライブやクリップボードへのアクセスを無効にするなど、適切なセキュリティ設定をリモートデスクトップサービスに適用すると、攻撃者はRDP経由で悪質なペイロードをコピーすることができません。

また、専門家は、慎重にログを監視して、攻撃者のIPアドレスを特定することを推奨します。

参照:

http://securityaffairs.co/wordpress/56139/malware/crysis-ransomware-rdp.html

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*