Malloxランサムウェアは、組織のファイルを暗号化する前にデータを盗み、次に、被害者に身代金を支払うよう説得するための手段として、盗んだデータを漏洩サイトに公開すると脅すという二重の恐喝の傾向に従っています。
本記事では、Malloxランサムウェアの特徴や感染経路、攻撃手法、対策について詳しく解説します。万が一感染した場合は、迅速に専門のフォレンジック調査会社に相談することをおすすめします。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Malloxランサムウェアの概要
Malloxランサムウェアは、2021年6月に初めて確認され、TargetCompany、FARGO、Tohnichi、Xollam などの別名でも知られています。Ransomware-as-a-Service(RaaS)モデルで運営されており、攻撃者が簡単に利用できる仕組みになっています。
主な特徴は以下の通りです。
- Microsoft SQL(MS-SQL)サーバーの脆弱性を悪用
- フィッシングメールや悪意のあるOneNoteファイルを利用して感染を拡大
- PowerShellを悪用し、セキュリティ対策を回避
- 暗号化したデータを人質にし、身代金を要求
- RAMPサイバー犯罪フォーラムでアフィリエイトプログラムを通じて拡散
Malloxは、Kryptinaランサムウェアの技術を新しい修正バージョンを使用して、新たなLinux向けバージョン「Mallox Linux 1.0」を開発したことが判明しています。Mallox Linux 1.0開発により、従来のWindows環境だけでなく、LinuxおよびVMware ESXi環境にも攻撃範囲が拡大しており、被害が拡大する可能性があります。
Malloxランサムウェアの主な感染経路
Malloxランサムウェアは、次のような手法でシステムに侵入します。
脆弱なMicrosoft SQLサーバー
攻撃者は、ブルートフォース攻撃を用いてPureCrypter経由でMalloxランサムウェアを展開し、Microsoft SQL Serverの脆弱性を悪用する侵入グループの標的としました。
初期アクセスは、SQL管理者(saアカウント)を狙ったブルートフォース攻撃によって行われ、サーバーが展開されてから1時間以内にアカウントが侵害されました。さらに、攻撃者は継続的にブルートフォース攻撃を仕掛け、侵入の成功率を高めていました。
サーバーの制御権を確立した後、攻撃者はPureCrypterという.NETベースのローダーを使用し、最終的にMalloxランサムウェアを実行します。
悪意のあるOneNoteファイルの添付
MalloxランサムウェアのXollam亜種は、最初のアクセスを取得するために悪意のあるOneNoteファイルの添付を利用している手法を使用しています。従来のMalloxがパスワードの総当たり攻撃によって保護が不十分な MS-SQL サーバーをハッキングし、被害者のネットワークに侵入することは異なる特徴を持っています。
メール添付ファイル経由で感染
「TargetCompany」とも呼ばれるMalloxの新たな亜種は、独自の手法でマルウェアを配信し、標的のデバイスで実行させる仕組みを採用しています。感染は、悪意のあるメールの添付ファイルを介して発生します。
添付ファイルには、マルウェアの実行ファイルが直接含まれている場合と、犯罪者のC2サーバーからMalloxをダウンロードし、さらに複数のスクリプトや悪意のあるファイルを使用して被害者のシステムにインストールするBatLoaderダウンローダーが含まれている場合の2パターンが確認されています。
もし上記の攻撃を受けた場合、ランサムウェアを感染する可能性があるので、早急に専門の調査会社に相談することがおすすめです。
Malloxランサムウェアの攻撃特徴と目的
Malloxランサムウェアは、他の多くのランサムウェア攻撃者と同様に「二重の恐喝(Double Extortion)」を行います。組織のファイルを暗号化する前にデータを盗み、被害者に身代金を支払わせるために、窃取したデータの公開をほのめかす手口です。
進化するMalloxランサムウェアの新たな脅威
Malloxランサムウェアの新たな亜種が確認され、被害者のデータを暗号化し、身代金が支払われるまでアクセスできなくなる手法が明らかになりました。
攻撃者はカスタムPythonスクリプトを使用してマルウェアを配信して、スクリプトはFlaskフレームワークを基盤とするMalloxのWebパネルであり、システム環境変数を認証情報として内部データベースに接続します。
新バージョンのMalloxは、被害者のデータを暗号化し、「.locked」拡張子を追加します。さらに、ユーザー認証、ビルド管理、新規ユーザー登録、パスワードリセット、新たなランサムウェアの亜種作成など、多くの機能を備えています。
管理パネルでは、ユーザープロファイルの管理、ログの表示、アカウント操作が可能で、チャットインターフェースやカスタマイズ可能な404エラーページも含まれています。
また、Malloxの暗号化プロセスには、非常に強力なAES-256-CBCアルゴリズムが使用されており、攻撃者が復号キーを持たない限り、被害者がデータを復元することはほぼ不可能とされています。
もしランサムウェアを感染を疑いがある場合、早急に専門の調査会社に相談することがおすすめです。
Malloxランサムウェアに感染した場合の対処法
Malloxランサムウェアに端末が感染した場合、被害の拡大を防ぐために迅速かつ適切な対応を行うことが重要です。以下の手順に従い、適切な対処を行いましょう。
端末をネットワークから切断
感染が確認されたら、まずは感染した端末をネットワークから切断しましょう。LANケーブルを抜くか、Wi-Fiをオフにすることで、他の端末やサーバーへの感染を防ぐことができます。加えて、攻撃者との通信を遮断することで、さらなる被害の拡大を防ぎます。
システムを再起動しない
感染直後にシステムを再起動すると、ランサムウェアのプロセスが継続され、よりダメージを引き起こす可能性があります。特に、メモリ上に残っているマルウェアの痕跡が消え、復旧の難易度が上がるため、慎重な対応が求められます。
Malloxランサムウェアを除去
ランサムウェア専用の除去ツールを使用し、感染した端末からMalloxランサムウェアを除去します。ただし、ランサムウェアを除去できたと思っても、完全に除去できていない場合もあるため、注意が必要です。
実際、ランサムウェアによっては除去後もシステムの安全性が確保されないことがあるため、リスクを避けるためにも、専門家の支援を受けることがおすすめです。
暗号化されたデータを復号
Malloxランサムウェアによって暗号化されたデータの復号は困難ですが、「No more ransome」のサイトでは、無料のランサムウェア複合キーを利用できる可能性があります。また、定期的なバックアップを実施していた場合は、感染前のデータを復元することが可能です。
警察に相談
Malloxランサムウェアの感染被害を受けた場合、最寄りの警察署やサイバー相談窓口に報告し、被害の詳細を提供することが重要です。保存されたログデータや攻撃の痕跡がある場合、データを提供することで捜査に役立つ可能性があります。
身代金を支払わない
ランサムウェア攻撃者は、身代金を支払ってもデータを復元する保証はなく、一度支払うとさらなる攻撃の標的になるリスクがあるため身代金の支払いは推奨されません。
感染した場合は専門の調査会社に相談
Malloxランサムウェアに感染すると、情報漏洩や追加の攻撃リスクが高まります。企業の場合、顧客情報や機密データの流出が信用失墜や法的責任につながる恐れがあります。
調査会社に依頼すれば、感染範囲の特定、データ復旧、再発防止策の提案が可能です。またセキュリティ対策の強化を支援し、攻撃の再発を防げます。
感染が疑われた場合、迅速な対応が重要です。さらに被害を最小限に抑えるため、専門家へ早急に相談することがおすすめです。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェアを感染したかどうか調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Malloxランサムウェア感染の予防策
Malloxランサムウェアの感染を防ぐために、以下の対策を講じることが重要です。
アカウントのパスワードを強力なものに再設定
強力なパスワードの使用は、Malloxランサムウェアを含む多くのサイバー攻撃から組織を守る重要な防御策となります。ポイントが以下になります。
- 長くて複雑な英数字パスワードを使用し、定期的に変更
- 多要素認証(MFA)を有効化し、攻撃者によるアカウント乗っ取りを防ぐ
- パスワード管理ツールを活用し、セキュリティを強化
アカウントの権限を制限
アカウントの権限を制限することも、ランサムウェアの拡散を防ぐ有効な手段です。
- 「最小権限の原則」を適用し、不要な権限を削除
- 管理者アカウントの使用を制限し、定期的に見直す
- アカウントの不審なアクセスを監視し、異常があれば即時対応
定期的にバックアップを取得
Malloxランサムウェア攻撃からデータ復旧するには、定期的にバックアップを行うことが推奨されます。
- 重要データのバックアップを定期的に取得
- バックアップをオフラインに保存し、攻撃者による改ざんを防ぐ
- バックアップの復元テストを定期的に実施
エンドポイント保護を強化
ランサムウェアの侵入を防ぐために、エンドポイントのセキュリティを強化することが必要です。
- 最新のセキュリティパッチと更新を適用し、脆弱性を防ぐ
- エンドポイント検出応答(EDR)ソリューションを導入し、異常な挙動をリアルタイムで検出
- 疑わしいメールの添付ファイルやリンクを開かないよう従業員を教育
上記対策を総合的に実施することで、Malloxランサムウェアの感染リスクを低減し、万が一の被害を最小限に抑えることができます。
まとめ
Malloxランサムウェアは依然として活発に活動しており、新たな変種が登場し続けています。RaaS(Ransomware as a Service)モデルの進化に伴い、さまざまなマルウェアと連携しながら攻撃を拡大しています。
もし感染したかどうか心配している場合、早急に専門の調査会社に相談することをおすすめします。適切な診断と対応を行うことで、被害拡大を防ぎ、復旧への最適な手段を講じることができます。