ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

Cylance vs. Satan(サタン)RaaSマルウェア

※ BlackBerry ProtectとCylancePROTECTは同製品です

本ブログ記事は、2017年2月7日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

 

ランサムウェアは広く知られた問題です。マルウェアの一種として知名度が高まっているという報道も多く、因果応報という言葉が空虚に響きます。

これまで、マルウェアの作成は高いスキルを持つ悪意のあるプログラマの専門領域でしたが、Cylanceが以前に報告したように技術的専門知識がほとんど、あるいは全く無くても、野心さえあれば独自の攻撃を開始できる新しいプラットフォームが進取的な攻撃者によって確立されたのです。このプラットフォームはRansomware-as-a-Service(RaaS – ラース)として知られており、参入障壁が低くなるだけでなく、障壁自体がなくなるため、サイバー犯罪者の数が激増しています。

Cylanceでは、最近発見された「Satan RaaSマルウェア」に対してCylancePROTECT®をテストしました。次のビデオでは、この新しい脅威に対するリアルタイム防御の技術的なデモをご紹介します。

 

動画: CylancePROTECT vs. Satan(サタン)RaaS

サイランスの研究者は、Satan RaaSを詳細に調べ、「成果報酬」という恐ろしい機能を発見しました。

ランサムウェアの登場で、マルウェアの作成者とサイバー犯罪者が利益を得る仕組みが変わりつつあります。ランサムウェアの作成者は暗号通貨を使用することで前金を請求せずに身代金の成功報酬のみを受け取ることができるようになりました。当然、ランサムウェアが大量に出回るようになります。Cylanceでは、野心的なサイバー犯罪者がどれほど簡単に複雑なランサムウェアにアクセスできるのかを明らかにするために、最近発見されたRansomware-as-a-Service(Satan)を調査しました。

先日SC Magazineに掲載された記事の中で編集者のPeter Stephensonは、Satan RaaSについて、次のように述べています。

「ランサムウェアは主にC++で作成されており、作成者はVirusTotalなどのウイルススキャナサービスにアップロードしないよう求めています。もちろん、私たちを含め、恐らく何人かの他の研究者がアップロードしているのは明らかで、このような結果を得ているわけです。ただし、詳細は後述しますが、攻撃者がランサムウェアのコピーを作成した場合、サンプルが出回ってA〜Mアンチマルウェアベンダー各社がシステムに組み込むまで、そのランサムウェアはアンチマルウェアでほとんど認識されないのです。」

さらに興味深いのは下記の記述です:

「私は作成したサンプルをVirusTotalとOPSWAT Metadefenderで実行してみました。V-Tは何も認識されませんでした。Metadefenderでは認識したと思われる9つの製品が表示されましたが、4つはコンパイル日付に基づく偽陽性で、4つの製品はZbotと認識し、Satanランサムウェアとして認識したのは2つの製品だけでした。つまり、アンチマルウェアソフトウェアで特定するのは非常に難しいということです。ただし、ほとんどのAVベンダーが提供しているのは汎用的な検出機能です。サンプルを即座(作成後1時間未満)にヒットした製品はCylanceだけでした。

すでにCylancePROTECT, をご利用中のお客様は、この攻撃から保護されています。CylancePROTECTをご利用でない場合、AIを活用したソリューションがどの様に未知の新しい脅威を予測・阻止できるかについて、ぜひBlackBerryまでお問い合わせください。

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。