日本企業を狙うランサムウェア「鬼」、ファイル暗号化して痕跡を消去 (1/2)

ONIに感染したマシンでは、すべてのファイルが暗号化され、「Oninoy0ru」（鬼の夜）のアドレスに連絡を取るよう要求する。

　セキュリティ企業の米Cybereasonは10月31日、ランサムウェア「ONI」を使った日本企業に対する標的型攻撃の実態について、詳しい調査結果をブログで報告した。

　ONIはセキュリティ企業のCylanceが7月に報告していたマルウェア。Cybereasonによると、標的型攻撃は3～9カ月にわたって続いた後、最後に数百台ものマシンを一斉に暗号化しようとする。フォレンシック分析を行った結果、攻撃者は自分たちの挙動を覆い隠すことに相当の労力を注いでいることが分かったという。

米Cybereasonのブログ

ONIは、領収書を装うなど、不正なOffice文書で相手をだまして社内ネットワークに侵入する（出典：米Cybereason）

　ONIと組み合わせて、マスターブートレコード（MBR）に感染する新手のランサムウェア「MBR-ONI」が攻撃に使われていることも判明した。MBR-ONIは正規のディスク暗号化ユーティリティ「DiskCryptor」をベースとするランサムウェアで、感染するとMBRを改ざんしてディスクパーティションを暗号化してしまう。DiskCryptorのコードは、ロシアやウクライナで猛威を振るったランサムウェア「BadRabbit」にも利用されていたという。

　ONIを使った攻撃は、さまざまな業界の日本企業を標的としている。まずは照準を絞ったスピアフィッシングの電子メールを送り付け、領収書を装うなど不正なOffice文書を使って相手をだます手口で社内ネットワークに侵入。特権を獲得してネットワーク内部で偵察活動を行い、会社の重要な情報を盗み出す。最終段階ではWindowsのログ記録を消去して攻撃の痕跡を隠し、大量のファイルを暗号化する。

- PR -