Trigonaランサムウェア:Linux版とWindows 64ビット版の概要
昨年10月後半に登場したばかりの比較的新しいランサムウェア種、「Trigona」。当初は32ビットのWindowsを狙うものが確認されていたが、トレンドマイクロの研究者らは今年5月にLinux版亜種を、そして今年6月にはWindows 64ビット版亜種を発見したという。
Trigonaランサムウェアとは?
Trigonaは2022年10月後半ごろに活動を開始した比較的新しいランサムウェアファミリーだが、そのサンプル自体は2022年6月に既に存在していたとされる。それ以降、米国やインドのテクノロジー業界やヘルスケア業界の組織を中心にさまざまな国々・業界の組織を攻撃しつつ、ランサムウェアバイナリーを絶えずアップデートしてきた。Trigonaを展開する脅威アクターとCryLockランサムウェアを展開していた脅威アクターにはTTPの重複がみられることから、CryLockのアクターとTrigonaのアクターは同一である可能性があると指摘されている。
Trigonaの概要については、こちらの記事でも紹介しています:新進のランサムウェア種「Trigona」に注意を
TrigonaのLinux版亜種
2023年5月、トレンドマイクロの脅威ハンティングチームは検知数のまばらな新しいランサムウェアバイナリを発見。検証の結果、これがTrigonaのLinuxバージョンであることが確認されたという。このLinux版亜種は、Windows 32ビット版と同様に実行時にコマンドライン引数を用いるとされる。ただ、トレンドマイクロによれば、このバイナリによって投下されるランサムノート(身代金要求メモ)には攻撃者のメールアドレス以外の情報が記載されていないことから、Linux版はまだ開発途中であろうことが示唆されているという。
TrigonaのWindows 64ビット版亜種
Linux版が見つかった翌月、トレンドマイクロの研究者らは64ビットのWindowsプラットフォームを狙うバージョンのTrigonaを発見。この亜種は、32ビット版やLinux版にはみられなかった新たなコマンドライン引数に対応しているという。
64ビット版亜種でのみ確認されたコマンドライン引数としては、例えば以下のようなものが挙げられている。
・/sleep:実行前にn秒間スリープ状態に入る
・/allow_system:システムディレクトリ内のファイルの暗号化を許可する
Trigonaのリークサイト
Trigonaは、他の多数のランサムウェアファミリーと同様に、二重恐喝の戦術を用いる。メインのリークサイトには被害組織のリストが表示されるほか、被害組織に身代金支払いの圧力をかける狙いでカウントダウンタイマーが設置されている。また、リークされるデータへのアクセス権を欲しがる者たちに向けて、入札オプションまで用意されているという。このメインのリークサイトに加えて、TrigonaのオペレーターはTorサイトも用意しており、そこで被害者はオペレーターと復号ツールに関する交渉を行えるようになっている。
Trigonaへの対策は?
他の悪名高いランサムウェアグループの数々に比べれば、Trigonaはさほど注目されていない。しかし、同グループは絶えず進化し、活動量を増やしていることから、今後大きな脅威をもたらすようになる可能性も考えられる。これを踏まえトレンドマイクロは、以下の3つの対策を講じることを推奨している。
・多要素認証(MFA)の有効化。
・3-2-1ルールに則ったバックアップの作成。
・システムの日常的なアップデートとパッチ適用。
(情報源:トレンドマイクロ “An Overview of the Different Versions of the Trigona Ransomware“)
6月23, 24日:その他の注目ニュース
FBIがBreachForumsを差し押さえ 3月に同フォーラムのオーナー「Pompompurin」を逮捕後
Bleeping Computer – Jun 23 2023 16:19
6月23日、米法執行機関は悪名高いハッキングフォーラムBreachForums(別名:Breached)のクリアウェブドメインを差し押さえた。同フォーラムのオーナーConor Fitzpatrick(別名:Pompompurin)被告は、サイバー犯罪の容疑で3か月前に逮捕されていた。現在、Breached[.]vcでホストされているドメインには、バージニア州東部地区連邦地方裁判所から発行された令状に基づき、FBI、保健福祉省、監察総監室、司法省によってWebサイトがテイクダウンされたという差し押さえバナーが表示されている。その他にもオランダや英国などの世界中の法執行機関もこの措置に参加しているという。また本措置の一環として、Pompompurinの個人サイトドメイン「pompur[.]in」も差し押さえられている。なお、BreachForumsのダークウェブ版ではまだ差し押さえバナーは表示されておらず、代わりにNginxのエラー「404 Not Found」が表示されている模様。
Royalランサムウェアグループについて知っておくべき5つの事実
Malwarebytes Unpacked – Jun 23 2023 09:45
Malwarebytesの脅威インテリジェンスチームによると、2022年11月から2023年6月までに、Royalの仕業とされるランサムウェアインシデントが195件も確認されているとのこと。同チームはブログ記事の中で、Royalについて知っておくべき5つの事実を挙げている。
①Royalによる初期アクセスの66%は、フィッシングによって行われている。
②Royalの被害者の64%が米国の組織であることが判明した。50件超の攻撃を実施しているランサムウェアグループに関して言えば、Royalは、Black Basta(67%)に次いで多く米国を攻撃対象としていることとなる。
③Royalは水面下で攻撃を実行するために、Cobalt Strikeなどの正規のツールのホストを使用している。Cobalt Strikeは、コマンド&コントロール、ラテラルムーブメントおよび機微データの抽出などに使用される。
④Royalは被害者のシステムを1度攻撃するだけとは限らず、再度攻撃を行うために被害者のシステムにとどまるケースがあることが分かっている。
⑤標的については特定の業界にフォーカスするということはなく、場当たり的な攻撃を行うことが多いという。したがって、攻撃しやすいものは誰でも標的になりうることから、米国の組織は特に、Royalに警戒しておく必要があると言える。