FireEyeの研究員Ronghwa Chong氏によると、危険でまだ無敗のLockyランサムウェアが、米国と日本の病院に対して「大規模な」攻撃を仕掛けているという。
Locky は、ユーザーに身代金を支払わせるか、損失を抑えてデータを消去させる方法でファイルを暗号化する、人気のランサムウェアの亜種です。
今月、すでに打撃を受けている医療業界は、Lockyランサムウェアを使った大規模なフィッシング攻撃を受けている。
「8月中、FireEye LabsはLockyランサムウェアを配布する大規模な電子メールキャンペーンをいくつか観測しました」とチョン氏は言う。
「このキャンペーンはさまざまな業界に影響を及ぼしており、当社のテレメトリによると、最も大きな打撃を受けているのは医療業界です。
「Lockyランサムウェアのダウンローダーの量は増加しており、キャンペーンで使用されるツールと手法は絶えず変化しています。」
チョン氏によると、今回の攻撃では、ペイロードがDridexトロイの木馬からLockyに置き換えられたようだという。
FireEyeの数字によると、マルウェアの発送業者は、Lockyをまとめる際にJavaからDOCM形式の添付ファイルに移行しており、8月11日と9日に大規模な攻撃が発生し、月曜日には小規模だが依然として大規模なフィッシング攻撃が発生した。
Lockyフィッシングの急増。画像提供:
チョン氏によると、各電子メールには、コマンド&コントロールサーバーから被害者のマシンにLockyをダウンロードするために使用される固有のキャンペーンコードが含まれているという。
「これらの最新のキャンペーンは、ユーザーがメールの添付ファイルを開く際には注意を怠らなければならないことを改めて認識させてくれます。さもないと感染のリスクがあり、業務に支障をきたす可能性があります。」先月、Lockyは第2四半期のメールベースのマルウェアでDridexを追い抜き、トップの座を獲得しました。
セキュリティ企業 Proofpoint は、悪意のある文書添付ファイルを使用した電子メール攻撃の 69% が Locky ランサムウェアを悪用したものであり、第 1 四半期では 24% であったと警告しています。
これに先立ち、Locky はアップグレードされ、Pretty Good Privacy 暗号化を使用して、ホワイトハット攻撃者が被害者と詐欺師の間の通信トラフィックを覗き見るのを阻止できるようになりました。
Locky はブラックハットのツールだけではありません。セキュリティ担当者の Ivan Kwiatkowski 氏は、インド人の技術サポート詐欺師が両親から金を巻き上げようとした際に、Locky を使用してその詐欺師のコンピュータを感染させました。®
