/

ソフォス、Ransomware-as-a-Service攻撃「Dharma」の最新状況調査結果を発表

発表日:2020年8月17日

ソフォス、新型コロナウイルスの感染が世界的に拡大する中、中堅・中小企業を脅かすRansomware-as-a-Service攻撃「Dharma」の最新状況を調査

・リモート業務環境と脆弱なRDPを使用している組織をターゲットにした攻撃

・数百万ドル規模の高度なランサムウェア攻撃と並んで成功を収めている、誰でも容易に利用できるDharmaのランサムウェアツールキット

ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、『Color by Numbers:Inside a Dharma Ransomware-as-a-Service(RaaS)Attack(誰でも容易に攻撃に参加できるRansomware-as-a-Service(RaaS)攻撃「Dharma」の詳細)』( https://news.sophos.com/en-us/2020/08/12/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack/)と題するレポートを発表しました。当レポートでは、ランサムウェアの運用者が作成し、バックエンドのインフラストラクチャや悪意のあるツールと共に別のサイバー犯罪者に販売・提供している自動攻撃スクリプトとツールセットを初めて詳細に調査しています。また、当レポートでは2020年にDharmaが中堅・中小企業(SMB)を標的にしている方法も報告しています。

Dharmaは2016年から知られるようになり、マス市場を対象にしたサービス型ビジネスモデルを採用していることで、最も高い収益を得ているランサムウェアの一つです。Dharmaのソースコードのさまざまなイテレーションがオンラインでダンプされたり、販売されたりしているため、現在では同コードの亜種が存在しています。

ソフォスが分析したDharma RaaS攻撃の主なターゲットは中堅・中小企業となっており、2020年に確認された攻撃の85%は、主にリモートデスクトッププロトコル(RDP)などの無防備なアクセスツールを攻撃しています。ランサムウェアの被害を復旧する業務を行っているCoveware社によると、Dharmaの身代金要求額は平均8,620ドルで、通常、かなり低額となっています。

ソフォスの上級脅威リサーチャーであるSean Gallagherは、次のように述べています。「Dharmaはファーストフード・フランチャイズのようなランサムウェアであり、誰でも気軽に利用できます。Dharmaは、Ransomware-as-a-Service型モデルを採用しており、壊滅的なランサムウェア攻撃を実行できる攻撃者の裾野を広げています。これは、何も起きていない時でも十分に注意が必要な問題ですが、現在は、多くの企業が新型コロナウイルスの感染拡大に対応しています。このような状況下では、リモートワーカーに対する迅速な支援が必要となっているにもかかわらずITスタッフが手薄になっていることから、これらの攻撃によるリスクがさらに増大しています。小規模な企業は、テレワークが可能な体制を急いで準備する必要があり、インフラやデバイスは脆弱なままとなっており、通常の方法ではITサポートスタッフがシステムを適切に監視・管理できなくなっています」

このソフォスのレポートで説明しているように、"アフィリエイト"と呼ばれるDharmaの顧客がツールを購入し、ターゲットのシステムに侵入すると、ネットワーク全体にランサムウェアを拡散させるために必要なコンポーネントをインストールして起動するPowerShellスクリプトをメニュー操作で利用できるようになります。マスタースクリプトが実行されると、「ツールボックス」のように利用できるようになり、「Have fun, bro!(楽しんでいらっしゃい。兄弟!)」というメッセージを表示して攻撃を開始します。

攻撃プロセスは、商用ツールのフリーウェア版だけでなく、オープンソースツールを多用しています。復号化は、非常に複雑な2段階のプロセスになっています。回復キーを求めてアフィリエイトに連絡した被害者には、暗号化されたファイルの詳細を抽出する第一段階のツールが提供されます。アフィリエイトはこの抽出されたデータをランサムウェア運用者と共有し、ランサムウェア運用者はファイルの第二段階の復号キーを提供します。調査によると、このプロセスが被害者のデータを実際に復元する時にどれだけ効果があるかどうかは、アフィリエイトのスキルや気分に大きく左右されています。たとえば、ソフォスでは、身代金を追加で奪い取るために、アフィリエイトがキーの一部を保持している事例を何度か確認しています。

「数百万ドル規模の身代金要求、有名なターゲット、WastedLocker( https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/)のような高度なスキルを有するサイバー攻撃者がニュースの見出しを多く飾る中、Dharmaのような脅威がいまだに健在であることを忘れてしまいがちですが、このような全く異なる階層のサイバー犯罪者がいくつもの小さな標的を攻撃し、一度に8,000ドルの大金を巻き上げているのです」と先述のGallagherは述べています。

※以下は添付リリースを参照

リリース本文中の「関連資料」は、こちらのURLからご覧ください。

添付リリース

https://release.nikkei.co.jp/attach_file/0538951_01.pdf

すべての記事が読み放題
有料会員が初回1カ月無料

産業で絞り込む
  • すべて
  • 情報・通信
  • メディア
  • 電機
  • 金融・保険
  • 自動車
  • 輸送・レジャー
  • 食品
  • 流通・外食
  • 日用品
  • 医薬・医療
  • 建設・不動産
  • 機械
  • 素材・エネルギー
  • 商社・サービス
  • すべて
  • 情報・通信
  • メディア
  • 電機
  • 金融・保険
  • 自動車
  • 輸送・レジャー
  • 食品
  • 流通・外食
  • 日用品
  • 医薬・医療
  • 建設・不動産
  • 機械
  • 素材・エネルギー
  • 商社・サービス

セレクション

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン