セキュリティベンダーが大好きなものが一つあるとすれば、それは熱狂を巻き起こすキャッチーな名前のマルウェアであり、シマンテックにとってまさに良い日だ。
同社は月曜日、主に医療分野の企業を攻撃している、特に悪質なハッキング活動「Orangeworm」を世界に発表した。この活動は、バックドア型トロイの木馬「Kwampirs」マルウェアを主に利用していると言われている。このマルウェアは、攻撃者がリモートからマシンにアクセスし、その後ローカルネットワーク全体に拡散することを可能にする。
この攻撃は少なくとも2015年1月から実行されていたと考えられており、被害者の大半(17%)は米国で発生しており、欧州とアジア全域でも感染が確認されている。
研究者たちは、このマルウェアは厳選された標的の機密医療情報を入手しようとしていると考えているが、オレンジワームの最終的な目的が何であるかは正確にはわかっていない。
病院がマルウェア感染の治療のため犯罪者の金庫に6万ドルを注入
続きを読む
医療関連企業に加え、Orangeworm の Kwampirs マルウェアは製造システムや IT プロバイダのマシンでも実行されていることが発見されているが、シマンテックはこれらの感染は医療提供者と契約する医療関連企業にアクセスするための手段として意図されていると考えている。
「シマンテックのテレメトリによると、Orangeworm の被害組織として確認されているものの約 40% が医療業界に属している」とシマンテックは指摘している。
Kwampirsマルウェアは、X線装置やMRI装置などのハイテク画像機器の使用と制御のためのソフトウェアがインストールされたマシンで発見されました。さらに、Orangewormは、必要な処置の同意書を患者が記入するのを支援するために使用されるマシンにも関心を示していることが確認されました。
一つだけ朗報があるとすれば、Orangewormとそのトロイの木馬Kwampirsは特に目立たないわけではないということです。このマルウェアは、感染すると、多数のコマンド&コントロールシステム(C&Cシステム)にpingを送信したり、ネットワーク共有を介して自身のコピーを作成しようとしたりするなど、簡単に検知できる活動を行う傾向があります。
シマンテックによれば、これは単に医療分野の IT の現状を反映しているだけかもしれないという。
「この方法はやや古いと考えられていますが、Windows XP などの古いオペレーティング システムを実行する環境ではまだ実行可能である可能性があります」と同社は説明しています。
この方法は、医療業界において効果的であることが証明されている可能性が高い。医療業界では、医療コミュニティ向けに設計された古いプラットフォーム上でレガシーシステムを運用している可能性がある。この業界では、Windows XPのような古いシステムが普及している可能性が高い。®
