セキュリティ研究者は、スイスの精神科医ヘルマン・ロールシャッハにちなんで、新しいWindowsマルウェアをロールシャッハと呼んでいます。他のよく知られたマルウェアとは異なり、このマルウェアは非常に迅速に動作するだけでなく、保護されたシステムに驚くほど簡単に侵入します。
Windows: 米国におけるランサムウェア攻撃
米国では、最初のシステムが新しい Windows ランサムウェアに感染しました。ランサムウェア攻撃中、サイバー犯罪者はファイル ディレクトリ全体を暗号化し、金銭と引き換えに復号キーのみを渡します。したがって、身代金とソフトウェアを組み合わせた名前が付けられました。
ロールシャッハの特別な点は、どのランサムウェア株にも割り当てることができないことです。ファイルを暗号化するように設計されたさまざまなマルウェア プログラムが存在します。コーディングには重複する部分がよくあります。ロールシャッハの場合はそうではありません。
さらに、加害者は偽名を残しません。 Checkpoint Research に加えて、他のセキュリティ研究者がすでにこのソフトウェアを調査し、他のハッキング集団とのあいまいな類似点を発見しました。しかし、意見の相違もありました。誰もが攻撃パターンの何かが異なることを認識できたため、Windows マルウェアは、有名なロールシャッハ テストまたはその開発者の名前にちなんで命名されました。
速いだけでなく賢い
Checkpoint Research は、この Windows マルウェアにはさらにユニークな機能があるとも述べています。ロールシャッハは、コードに関しては共感できないだけでなく、非常に賢いです。 PC を乗っ取るために必要な権限を取得するために、ハッカーによる手動制御はほとんど必要ありません。ロールシャッハはこれをすべて一人で行うことができ、驚くほど速いです。
「このランサムウェアは高度にカスタマイズ可能で、ランサムウェアではほとんど見られない直接システム コールの使用など、技術的にユニークな機能が含まれています。さらに、実装方法が異なるため、ロールシャッハは暗号化速度の点で観測されたランサムウェアの中で最も速いものの 1 つです。」
チェックポイントリサーチ
米国企業に対する最初の攻撃では、サイバー犯罪者がセキュリティ ツールの脆弱性を悪用しました。その後、ロールシャッハは DLL サイドローディングを介して Windows システムに侵入しました。
注目している企業はありますか?
ロールシャッハの仕組みは、Windows マルウェアがドメイン コントローラーに到達するとすぐに独自に拡散することを示しています。影響を受けるデバイスのイベント ログは移植後に削除されるため、これは必ずしもすぐに判断できるわけではありません。
しかし、このアプローチは、ロールシャッハの背後にいる人々が企業を標的にする可能性が高いことも示唆しています。私人を脅迫したいだけであれば、そのような高度なシステムは必要ありません。ただし、それですべてがクリアされたわけではありません。今のところ、ロールシャッハが大企業だけをターゲットにしているのかどうかを判断することはできない。マルウェアから身を守りたい場合は、常にウイルス プログラムをインストールしてアクティブ化する必要があります。
出典: チェックポイントリサーチ