QaKbotから新たなランサムウエアEgregorを展開し攻撃 今年9月以降急増

 QaKbotはコンピューターから金融情報を窃取するバンキング型トロイの木馬として知られているマルウエアです。QaKbotの感染後にランサムウエアのProLockが展開されるTTP(攻撃の流れ)が確認されていましたが、今年9月以降、ProLockではなくEgregorと呼ばれる新たなランサムウエアによる攻撃が急増しているようです。

Sekhmetの亜種

 Egregorは今年9月に登場し、10月にアメリカ最大の書店チェーンBarnes&Nobleやフランスに拠点を置くコンピューターゲームの開発・販売会社Ubisoft、ドイツに拠点を置くコンピューターゲーム開発会社のCrytekへの攻撃などで広く知られるようになりました。Egregorは2020年3月に登場したランサムウエアSekhmetと多くの類似点があり、Sekhmetの亜種と考えられています。また、最近、活動を停止したランサムウエアMazeとの関係も指摘されていて、Mazeに代わって登場したランサムウエアともみられています。

 攻撃は、フィッシングメールでコンピューターに情報窃取型のQaKbotやUrsnifなどのマルウエアをダウンロードさせ、感染したコンピューターにCobaltStrikeビーコンがインストールされてコンピューターの情報を収集し権限を昇格、最終的にEgregorペイロードをダウンロードして実行しファイルを暗号化して身代金メモを残します。メモにはダークウェブブラウザTORをダウンロードして、3日以内に連絡をするように指示があり、身代金の支払いがない場合は、窃取されたデータがEgregorNewsというサイトに公開されるという流れです。

 QaKbotやUrsnifはコモディティ化(汎用品化)されたマルウエアという意味でコモディティマルウエアと呼ばれていますが、こうしたコモディティマルウエアの感染からランサムウエア攻撃に至るのが直近の攻撃の傾向で、これまでのケースとしてよく知られているのはtrickbotの感染後にRyukが展開されるパターンがあります。またQaKbotについてもこれまでProLockというランサムウエアが展開される傾向がありました。ProLockは今年3月に登場したランサムウエアで、アメリカの医療や金融機関、政府機関、小売事業者などで攻撃が確認され、その際、攻撃の前段でQaKbotを配布していたことが明らかになっています。

日本を含む16カ国で攻撃確認

 シンガポールを拠点とするサイバーセキュリティソル―ションプロバイダーのGroup-IDの報告によると、今年9月以降、QaKbot から展開されるランサムウエアがProLock からEgregor へと変更され、その被害は16カ国69企業に及んでいるということです。被害企業がもっとも多いのはアメリカで32社、次いでフランスとイタリアがともに7社、ドイツ6社、イギリス4社と続き、日本も1社含まれています。また、脅威情報の収集・対策を行っているdigital shadowsによると9月25日から11月17日までの2カ月足らずでEgregor の被害は71件にのぼり、分野別では工業製品およびサービス部門の企業が攻撃の38%を占めているということです。また、SentinelOneによると、Egregorの攻撃者によってリスト化されている被害企業は11月24日の時点で152社にのぼっているということです。

 Group-IDによると、ProLockとEgregorの攻撃の流れは同じで、DocuSignで暗号化されたスプレッドシートになりすました悪意のあるMicrosoftExcelドキュメントを介して配信されるQaKbotを介してランサムウエアが展開され、データの抽出にRcloneを使用、md.exe、rdp.bat,svchost.exeなどのツールと命名規則も同じだということです。よってGroup-IDはQaKbotを操作するグループがProLockランサムウエアからEgregorランサムウエアにツールを切り替えた可能性が非常に高いと判断しています。ちなみにTrickbotやQaKbotは、いずれもロシア語を使うハッカーグループにリンクしており、ロシアを拠点としたサイバー犯罪グループが一連の活動の背景にあると見られています。

■出典

https://www.group-ib.com/media/egregor/

https://www.bankinfosecurity.com/qbot-banking-trojan-now-deploying-egregor-ransomware-a-15430?utm_medium=email&_hsmi=100588165&_hsenc=p2ANqtz-89TPmppj2u4_uNcHkWZyj-fr45F3qTFNCQhlx45wTGzQfZpcT5_SlpXhgCdNVkWBhwl8GNVlqxyy8OT0N4gZfHMMMKUA&utm_content=100588165&utm_source=hs_email

https://www.digitalshadows.com/blog-and-research/egregor-the-new-ransomware-variant-to-watch/

https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware

https://labs.sentinelone.com/egregor-raas-continues-the-chaos-with-cobalt-strike-and-rclone/

NO IMAGE
最新情報をチェックしよう!