Shade Ransomwareの運用が停止する
最近の報告によると、Shadeオペレーターはすべての操作を終了する予定です。これにより、セキュリティ研究者が亜種の暗号化された被害者のデータを検出した2014年以来、ランサムウェアの実行が最も長く続いています。犯罪者の集団はその時点から活発であり、キャンペーンはかなり一定の割合で実施されています。彼らの活動は彼らの発表で崖から落ちた:
「私たちは、主にShade、Troldesh、またはEncoder.858として知られるトロイの木馬暗号を作成したチームです。実際、私たちは2019年の終わりにその配布を停止しました。今、私たちはこの話の最後のポイントを置き、私たちが持っているすべての復号化キー(合計75万を超える)を公開することを決定しました。また、復号化ソフトも公開しています。また、キーを持つことで、ウイルス対策企業が独自のよりユーザーフレンドリーな解読ツールを発行することも期待しています。私たちの活動に関連する他のすべてのデータ(トロイの木馬のソースコードを含む)は、取り返しのつかないほど破壊されました。トロイの木馬のすべての犠牲者に謝罪し、公開したキーがデータの回復に役立つことを願っています。」
Gangはこの発表を行うために2019年にGitHubに参加しました。このメッセージは、ギャングが被害者がファイルを取り戻すのを助けるために、約750,000の復号化キーをリリースしたことを確認します。彼らは誠実に行動しました。カスペルスキー研究所の研究者セルゲイゴロヴァノフは、これらのキーをすでに検証しています。セキュリティ会社は現在、復号化プロセスをはるかに簡単にする復号化ツールに取り組んでいます。このツールがリリースされるときのデータについては何も発表されていませんが、近い将来に利用可能になると予想できます。 Kaspersky Labsは、いくつかの解読ツールをリリースしたShadeを扱った経験を持つ人です。
ツールのリリースは誠実な行為と見なすことができますが、いくつかの警告が伴います。このツールのリリースにより、多くの被害者がランサムウェアによって暗号化されたデータにアクセスできるようになることは事実です。ツールのこのリリースは、カスペルスキーが付与された復号化者になるために非常に必要なものを作成するのを支援します。
冒頭で述べたように、シェードランサムウェアのストーリーは2014年に始まりました。ギャングはスパムメールキャンペーンとエクスプロイトキットの両方を使用してそれを配布しました。カスペルスキーや他のセキュリティ会社が開発した複数の復号化プログラムで見られるため、これは完全なひずみではありませんでした。最初の配布方法はアバストによって発見されました。これは、セキュリティ会社がTroldeshとして追跡されているランサムウェアの10万インスタンスをブロックできた2019年6月に行われました。このキャンペーンは、米国、英国、ドイツの個人を対象にしています。しかし、はるかに多くの検出がロシアとメキシコで発生しました。アバストは、ランサムウェアはスパム電子メールを介して拡散し、マルウェアのインスタンスはソーシャルメディアおよびメッセージングプラットフォームを介して配布されたことが確認されたことに言及しました。彼らはさらに気づきました:
「攻撃の数は急増しているようですが、これはおそらく、Troldeshのオペレーターがこのひずみを、あらゆる種類の重要なコードの更新よりも困難かつ効果的にプッシュしようとするためです。 Troldeshは何年にもわたって野生で蔓延しており、何千人もの犠牲者が身代金を支払ったファイルを持っているため、おそらくしばらくは蔓延し続けるでしょう。」
2番目のキャンペーンはMalwareBytesによって分析されました。 2018年の終わり頃に始まり、2019年の第1四半期の半分まで実行された検出の急増に対処するときに、彼らはそれを行いました。暗号通貨マイナーなど。
再び、ランサムウェアは、悪意のあるコードをスパムメールの添付ファイルとしてファイル内に添付することで拡散しました。ファイルは、多くの場合、zipファイルでした(開かれた場合)。ランサムウェアのペイロードを含むJavaScriptファイルが抽出されました。実行されると、感染はファイルの暗号化と特定の拡張子名が付加されたファイルから始まります。これに続いて、.txtファイルが現れ、ファイルを復号化するために身代金を支払う方法についての説明が示されました。研究者は述べた:
「Troldeshの犠牲者には、一意のコード、電子メールアドレス、およびタマネギアドレスへのURLが提供されます。コードを記載したメールアドレスに連絡するか、詳細な手順についてタマネギのサイトにアクセスしてください。攻撃の次の波に資金を提供するため、身代金の著者に支払うことはお勧めできません。 Troldeshを他のランサムウェアバリアントと区別するのは、影響を受けるシステムに身代金メモがドロップされた膨大な数のreadme#.txtファイルと、脅威アクターとの電子メールによる連絡先です。それ以外の場合は、知らない犠牲者をだますことに大きく依存する古典的な攻撃ベクトルを採用しています。それにもかかわらず、それは過去、そして現在の攻撃の波の中でかなり成功しています。利用可能な無料の復号化機能は、いくつかの古い亜種でのみ機能するため、被害者はおそらくバックアップまたはロールバック機能に依存する必要があります。」
1つのギャングがすべての操作を中止することを決定しましたが、多くの場合、これは通常どおりの仕事です。したがって、警備員を失望させないでください。マイクロソフトの脅威保護インテリジェンスチームは、今回、攻撃者がデータを公にリリースすることを脅かしていないという警告を発しました。これは、データを盗んだわけではありません。さらに、彼らは述べた:
「2020年4月の最初の2週間で、数か月間ターゲットネットワーク上でアクセスを蓄積し、永続性を維持していた複数のランサムウェアグループが数十のランサムウェアの展開を活性化しました。これらのランサムウェアグループは、グローバルな危機にもかかわらず、影響を与える重要なサービスをほとんど考慮していないことを示しています。ただし、これらの攻撃は重要なサービスに限定されないため、組織は侵害の兆候に警戒する必要があります。」
ランサムウェアギャングの犠牲になることを防ぐ必要があります。マイクロソフトは、PowerShell、Cobalt Strike、およびその他の侵入テストツールを精査するようネットワーク管理者に助言しています。また、ローカルセキュリティ機関サブシステムサービスへの不審なアクセスと不審なレジストリ変更、およびセキュリティログの改ざんの証拠も探す必要があります。これらのアドバイスは、これらの脆弱性が原因です。
- 多要素認証のないRDPまたは仮想デスクトップエンドポイント
- CVE-2020-0688の影響を受けるMicrosoft Exchangeサーバー
- CVE-2020-10189の影響を受けるZoho ManageEngineシステム
- CVE-2019-19781の影響を受けるCitrix ADCシステム
- CVE-2019-11510の影響を受けるPulse Secure VPNシステム
- CVE-2019-0604の影響を受けるMicrosoft SharePointサーバー