Microsoft によれば、Cerber ランサムウェアの背後にいるネットの悪党たちが、他のどの企業よりも多くの企業のマシンを感染させ、企業を攻撃しているという。
12月から1月にかけて、Windows 10 Enterprise が稼働している企業のエンドポイントで約 2,114 件の感染が発見されました。Microsoft の技術者によると、このオペレーティング システムには、有料サービスである組み込みの Advanced Threat Protection エクスプロイト緩和機能により、ランサムウェアのエクスプロイト チェーンを遮断できるとのことです。
レドモンドは、少なくとも2016年7月、ランサムウェアの作成者が旧式のマクロを使用してOffice 365を標的とするように主力製品を改良して以来、Cerberと戦ってきた。
同社によれば、同社の脅威防御モジュールはCerberのペイロードや、今後出現する可能性のある形態を含む他のペイロードを認識し、エクスプロイトの起動を阻止するという。
このモジュールは、今後の Creators Update でアップグレードされ、侵害を受けたマシンをネットワークから隔離し、実行防止および隔離機能を使用できるようになります。
この機能は、Microsoft が Windows 10 に組み込んだ効果的なエクスプロイト緩和策とほぼ一致しているようです。これらの機能は、間もなく廃止される Enhanced Mitigation Toolkit に付属していました。
マイクロソフトは、12月にこのマルウェアグループがホリデーシーズンの買い物客を騙そうとするキャンペーンを暴露した後、Cerberの感染数を掘り起こして、プレミアムエクスプロイト緩和策を宣伝した。
このキャンペーンには 2 つの形式がありました。悪意のある添付ファイルを含んだ配信メッセージを装った電子メールと、進化を続けるエクスプロイト キット市場の現在の覇者である RIG の多用です。
レドモンドのセキュリティ専門家は、Cerber 感染の技術的分析の中で、顧客が第 1 段階のマクロを実行し、その後 PowerShell を使用してペイロードを保持する第 2 のコンポーネントを取得する様子を示した高度な脅威保護について説明しました。
企業のエンドポイントにおけるランサムウェアの遭遇
Ceber ペイロードはブロックされ、新たな亜種のブロックに役立つコマンド アンド コントロール IP アドレス データと Cerber ペイロード情報をセキュリティ オペレーション センターに提供するための 4 つのアラートが生成されました。
ランサムウェアの亜種である Genasom と Locky は、それぞれ約 1,000 件の感染により、Windows 10 Enterprise ボックスへの攻撃で 2 位と 3 位を獲得しました。
セキュリティ担当者は、最新の Cerber の脆弱性を悪用して被害者が無料でファイルを復号できるようにするツールを公開していないようで、企業はバックアップからデータを復元するか、身代金要求に応じざるを得ない状況になっている。
重要なリバース エンジニアリング作業は、主に No More Ransom Alliance の下で活動するホワイト ハット ハッカーによって行われており、研究者やセキュリティ企業による独立した賞賛に値する取り組みも行われています。®
