脅迫者：過去または未来への脅威？

攻撃ベクトル、新しいユニークなウイルスファミリの数、マルウェアの進化を見ると、これが最も深刻で広範囲にわたるセキュリティの脅威になることがわかります。 カットの下で、私は恐mail者の分析とそれらに対する保護について話します。







2016年の恐mailプログラムの分析では、次のことが示されました。

• 四半期ごとに、ユーザーのコンピューターに自動的にインストールしようとするスパムダウンローダーとブラックメールダウンローダーを含む5億件以上のスパムメールが送信されます。
• ブラックメールダウンローダーは、1340万台以上のコンピューターを攻撃しました。
• 一方、450万台のコンピューターがMeadgiveおよびNeutrinoマルウェアに感染しており、その主な攻撃コードは恐mailプログラムです。
• 2016年には、390万台のPCで恐blackプログラムが検出されました。

恐mailプログラムの影響は、個人ユーザーだけでなく、企業や公共部門も被害を受けました。 カリフォルニアの特定の病院が重要な医療ファイルを回復するために攻撃者に支払いをしたという事実や、 サンフランシスコの輸送システムの誤動作など、主要メディアがこれらの攻撃を報告した後、恐mailプログラムの考えは深まりました公共の心に。 9月、 Europolのレポートでは、恐mailプログラムが最大のデジタル脅威であり、マルウェアを残してデータやオンラインバンキングトロイの木馬を盗みました。



Windows Defenderウイルス対策プログラムによると、興味深い傾向が観察されていることは注目に値します。2016年8月にピークに達し、恐thousandプログラムの登録件数385千件-9月には、その数はほぼ半減し、減少し続けています。







図 1.ダウンローダーやその他のコンポーネントを除き、ブラックメーラーによるペイロードファイルの毎月の検出頻度。 一部の業界データでは、これら2つの指標を組み合わせています。



この傾向は、脅迫者の終わりが予見されることを意味しますか？ 脅迫者の分布の他の領域を見ると、そうではないことがわかります。

エントリポイントでの恐blackプログラムのブロック

恐mailプログラムの有病率が本当に低下しているかどうかを理解するには、攻撃経路から始めて、感染チェーンの他の領域を研究する必要があります。 それ以外の場合は、Windows Defender Antivirusデータが示唆しています。

電子メールニュースレター経由で配布されるダウンローダートロイの木馬

NemucodやDonoffなどのダウンローダートロイの木馬は、PCに恐mailプログラムをインストールします。 これらのダウンローダーは、多くの場合、ドキュメントファイルまたはショートカットの形式を取り、電子メールで配布されます。



ブラックメールプログラムダウンローダーを含む電子メールメッセージの数は減少していません。 2016年の最後の四半期に、このようなメッセージが5億件記録されました。 同じ期間に、ダウンローダー型トロイの木馬は月に少なくとも100万台のPCに感染しました。 明らかに、サイバー犯罪者は恐blackプログラムを使用してユーザーのコンピューターを攻撃することを止めませんでした。 実際、2016年の終わりまで、 NemucodがLockyウイルスを広める電子メールキャンペーンと、Cerberウイルス を送信するDonoffウイルスキャンペーンを目撃しました。







図 2. 2016年末までに恐mailプログラムの検出件数は大幅に減少しましたが、下半期では上半期と比較して、恐mailローダーによる感染の頻度は平均して高くなりました。



明らかに、恐mailプログラムの発生率の減少は、サイバー犯罪者の熱意が低下したという事実によるものではありません。 恐mailプログラム用のトロイの木馬ダウンローダーを含む大量の電子メールがまだあります。 ただし、侵入時にブラックメールプログラムによる感染はブロックされます。 2016年に恐black配信業者がエクスプロイトの使用からより効果的な感染ベクターとしての電子メールに切り替えたため、これは興味深い動きです。

エクスプロイト

Neutrinoエクスプロイトは、PCにLocky the blackmailerをインストールするために使用されました。 2016年半ばに、ニュートリノ感染の発生率が増加し、6月に消失した後、 Axpergleウイルス（Anglerとしても知られる）のニッチを埋めました。 明らかに、Neutrinoの有病率は、そのオペレーターがサイバー犯罪グループに手綱を引き渡した後、9月に低下し始めました。



別の人気のあるエクスプロイトであるMeadgive （RIGとも呼ばれる）は、最初はCerberの恐blackプログラムによって配布されました。 2016年、Meadgiveは着実に成長を続け、マルウェア配布の最も頻繁な悪用になりました。 2016年12月、Meadgiveのメールキャンペーンは、主にアジアとヨーロッパで行われたCerberウイルスの最新バージョンから始まりました。



エクスプロイトはあまり一般的ではありませんが 、恐mailプログラムは引き続きエクスプロイトを悪用してコンピューターに感染します。 これは、エクスプロイトにより、恐mailプログラムが許可を増やし、より制限の少ない潜在的に危険なプログラムを実行できるためです。

ハッカーは新しい方法を探しています

恐blackプログラムはまだ動いていません。このことのもう1つの証拠は、2016年に記録された多数のマルウェアの革新です。



サイバー犯罪者は常にツールキットを更新しています。 たとえば、2016年の終わりに、 Cerberの最新バージョンへの重要な更新が記録されました。



悪意のあるコードに対するこれらの改善は、サービスとしてのブラックメーラーなどの攻撃に徐々に導入され、サイバー犯罪者は違法なフォーラムでブラックメールプログラムの最新バージョンを入手できます。 これは、サイバー犯罪者に必要なリソースと攻撃を組織する動機を提供します。



以下は、2016年に恐者が目撃した改善の一部です。

サーバーへの攻撃

2016年初頭にサマスの脅迫者が発見されたことで、これらのプログラムは営利企業にとって大きな脅威となりました。 サーバーを標的とする恐mailプログラムに直面して、IT管理者はエンドユーザーの保護だけでなく、サーバーのセキュリティの強化も余儀なくされました。



Samas配布キャンペーンはサーバーの脆弱性を悪用しました 。 彼らは、ペンテストを使用して脆弱なネットワークを検索し、さまざまなコンポーネントを使用してサーバー上のファイルを暗号化しました。

ワームウイルスの機能

Zcryptorは拡散する傾向がありました。つまり、一部の恐mailプログラムは、スパムキャンペーンに頼らずにエンドポイント間を移動できました。 ワームウイルスは、拡散に使用できるネットワークおよび論理ドライブとリムーバブルメディアを検出します。 2017年の初めに、 Sporaウイルスが検出され、同様の動作を示しました。

別の支払い方法と連絡方法

通常、恐mail者は違法なTor Webサイトでビットコインを介した支払いを要求しました。 被害者からの支払いの減少に対応して、サイバー犯罪者は新しい支払い方法を探し始めました。



たとえば、 Dereilockの恐mailプログラムは 、被害者にSkypeを介してサイバー犯罪者に連絡することを強制し、 TelecryptはTelegram Messengerメッセージングサービスを使用してサイバー犯罪者と通信することを提案しました。



Sporaは「シェアウェア」サービスの道を歩みました-被害者のいくつかのファイルは無料で復号化でき、少量の場合はいくつかのファイルが復号化できました。

脅迫の新しい方法

2016年、ほとんどの恐mailプログラムはカウントダウンタイマーの使用を開始しました。 これにより、被害者は、ファイルへのアクセスが回復不能に失われるという苦痛の下で、身代金をすぐに支払うことになります。



Cerberの恐mailプログラムが3月に登場したとき、スプラッシュが発生しました。VBScriptは、テキストとHTMLドキュメントの形式での通常の身代金メッセージに加えて、身代金要求を含む音声メッセージにテキストを変換しました。 したがって、Cerberは「おしゃべりの脅迫者」と呼ばれていました。



別のCornCrypt恐mailプログラムは、被害者が他の2人のユーザーに感染した場合、ファイルを無料で復号化することを提案しました。 攻撃者は雪だるま式の効果を考慮しました。犠牲者が多いほど、被害者の1人が支払う可能性が高くなります。

脅迫者の新しい家族-ランキングリーダー

脅迫者からの脅威は、脅迫者の新しい家族の出現によって証明されるように継続する可能性があります。 検出された200を超えるアクティブな家族のうち、約半分が2016年に初めて記録されました。



恐mail者のほとんどの新しいファミリーは暗号化を使用します。 このタイプの恐mailプログラムは、古いバージョンを画面ロックに置き換えました。画面ロックは単に画面をブロックし、ファイル暗号化を使用しませんでした。



2016年には、新しい方法と手法を使用して、恐mail者の多くの家族が登場しました。 同時に、2016年の脅迫者の検出事例の68％は、5人のリーダーが原因でした。







図 3. 2016年に発見されたCerberとLockyは、恐mailプログラムの中で今年のリーダーになりました



脅迫プログラムの2つの主要なファミリは2016年にのみ発見されたことに注目するのは興味深いことです。

ケルバー

Cerberは2016年3月に発見され、ファイル拡張子にちなんで命名されました。 3月から12月にかけて、彼女は60万台以上のPCを攻撃しました。



Cerberの違法なフォーラムでは「サービスとしての恐mailプログラム」が提供されているため、攻撃者は悪意のあるコードを記述することなくそれを送信できます。 その動作は、主に構成ファイルによって決定されます。 Cerberの最新バージョンは、ほぼ500のファイルタイプを暗号化できます。 暗号化のためにファイルを検索するとき、プログラムは最も優先度の高いフォルダを選択できることが知られています。 Cerberは、主にそれをインストールするDonoffブートローダーを含むスパムメールを介して配信されます。







図 4. Cerberの検出頻度は9月以降急激に低下し、12月にはCerberブートローダーであるDonoffの普及が増加しています。



Cerberウイルス感染は、MeadgiveまたはRIGエクスプロイトを介することでも知られています。 Meadgiveは、2016年後半のリードエクスプロイトでした。

ロッキー

2016年、 Lockyは2番目に一般的な恐mailプログラムとなり、50万台を超えるコンピューターに感染しました。 2月に発見され、ファイル拡張子からも名前が付けられました。 それ以来、.zepto、.odin、.thor、.aeris、.osirisなどの他の拡張子を使用しています。



Cerberと同様に、スパムオペレーターはLockyを「サービスとしてのブラックメール」として購読しています。 暗号化ルーチンのコードが含まれており、ファイルを暗号化する前にリモートサーバーから暗号化キーと身代金メッセージを受信することもできます。



当初、LockyはNeutrinoエクスプロイトを介して配布されていましたが、後にLockyをダウンロードして起動したNemucodウイルスを含むスパムメールが使用されました。







図 5. 2016年下半期のネムコッドの検出頻度は、この期間にLockyの有病率が大幅に低下したという事実にもかかわらず、一定のままでした。

世界的な脅威としての恐mail

2016年、恐mail者は真の世界的な脅威となり、200か国以上で発見されました。 米国だけでも、恐mailプログラムは46万台を超えるPCを攻撃しました。 イタリアとロシアがそれに続きます（それぞれ252千件と192千件の検出）。 韓国、スペイン、ドイツ、オーストラリア、フランスでは、10万件以上の感染が報告されました。







図 6. 200か国以上で登録されている恐blackプログラムによる感染



Cerber感染の最大数は米国で登録されており、世界のこのウイルスによる感染の総数の27％です。 別の強力な恐mail者であるLockyが2016年に発見されました。 彼女は、米国で最も一般的な恐blackプログラムの2番目の家族になりました。



対照的に、イタリアとロシアでは、恐mailプログラムの古いバージョンがより一般的です。 イタリアでは、2014年に出現したCritroniウイルスの感染件数が最も多く報告されています。 Critroniの恐mailプログラムが最初に登場したとき、その身代金レポートは英語とロシア語で編集されました。 後続のバージョンでは、イタリア語を含む他のヨーロッパ言語が導入されました。



2015年に検出されたTroldeshウイルスは、ロシアの感染件数のリーダーになりました。 ファイルを暗号化した後、Troldeshはデスクトップにロシア語と英語のメッセージを表示しました。これには、攻撃者への連絡方法と支払い方法が記載されていました。







図 7.恐mailプログラムの有病率が最も高い国-米国、イタリア、ロシア、韓国、スペイン-は、スパムキャンペーンの地域性により、さまざまなウイルスファミリーの影響を受けます。

結論：増大する脅威には新しい対策が必要

恐mailプログラム、攻撃ベクトル、ユニークなウイルスファミリーの数、悪意のあるコードの改善の一般的な分布は減少していますが、この多要素セキュリティの脅威の終わりはまだありません。



Microsoftは、セキュリティ機能がオペレーティングシステムに直接統合されるように、Windows 10オペレーティングシステムを作成し、絶えず改善しています。

感染に対する恐mailからの保護

恐mailプログラムによる感染のほとんどのケースは、トロイの木馬ダウンローダーを含む電子メールの受信から始まります。 これは、サイバー犯罪者が恐mailプログラムをインストールするために使用する主なベクトルです。 Office 365 Advanced Threat Protectionには、脅迫プログラムダウンローダーを含む危険なメールをブロックする機械学習機能があります。



一部の恐blackプログラムは、エクスプロイトを介してコンピューターに侵入します。 Microsoft Edgeブラウザは、エクスプロイトがこれらのウイルスを起動および実行することを防ぐことにより、コンピュータを脅迫プログラムから保護するのに役立ちます。 Microsoft SmartScreenのおかげで 、Microsoft Edgeブラウザーは、エクスプロイトを含む可能性のある悪意のあるWebサイトへのアクセスをブロックします。



Device Guardは、 デバイスをブロックし、カーネル仮想化レベルで保護を提供し、信頼できるアプリケーションのみの起動を許可し、恐mailプログラムやその他の危険なソフトウェアの起動を禁止できます。

恐mailの検出

恐blackプログラムの作成者は、おそらく新しいウイルスファミリを作成し、既存のウイルスファミリを更新する最も生産的な攻撃者の1つです。 また、コンピュータに恐mailプログラムをインストールするための攻撃ベクトルを選択するのに非常に役立ちます。



Windows 10は、発生の最初の兆候で脅迫者による攻撃を即座に検出するのに役立ちます。 Windows Defender Antivirusは、ブラックメールプログラム、およびそれらをインストールするエクスプロイトとダウンローダートロイの木馬を検出します。 このウイルス対策は、クラウドテクノロジーを使用して、最新の脅威からコンピューターを保護します。



Windows Defender AntivirusはWindows 10に組み込まれており、 オンにすると、PCをリアルタイムで脅威から保護します 。 PCの最新の保護のために、 Windows Defender Antivirusおよびその他のソフトウェアを定期的に更新します 。

恐mail攻撃への対応

Windows Defender Advanced Threat Protection （Windows Defender ATP）は、セキュリティ専門家に不審なアクティビティを通知します。 これらのアクションは、Cerberなどの恐mailプログラムの一部のファミリに共通しており、将来の恐mailプログラムに固有のものになる可能性があります。



Windows Defender ATPの評価版は無料です。

Windows 10 Creators Updateの強化された保護

既存のセキュリティ機能の中で最も強力なのはWindows 10 Creators Updateで、これにはWindows Defender AntivirusとOffice 365との統合が含まれ、電子メール攻撃の脆弱性を軽減するマルチレベルの保護を作成します。



Windows Defender Antivirusは、動作の異常を検出し、感染チェーンのさまざまなポイントでウイルスを検出するのに役立つコンテキスト認識および機械学習機能を強化します。 脅威分析の統合の改善により、より高速なスパムブロックが提供されます。



Windows Defender ATPを使用すると、セキュリティの専門家は、侵害されたPCを企業ネットワークから分離し、ネットワーク上のウイルスの拡散を阻止できます。



この更新プログラムでは、検疫されたファイルの種類を指定し、以降の実行を禁止することもできます。



恐mail者の脅威はすぐには消えないかもしれませんが、Windows 10はこのマルウェアに対する保護を引き続き改善します。

---

明日、9月27日10:00（モスクワ時間）に、国際的なオンラインフォーラム「You Trust IT。 ビジネスセキュリティへの道！」、プロジェクトのセキュリティを確保し、外部の脅威を避け、重要なビジネス情報を失うリスクを最小限に抑え、損失を回避する方法を学びます。



参加は無料です。