2020年7月30日

Kaspersky、サイバー攻撃グループ「Lazarus」が独自のランサムウェアを使用し企業を狙う攻撃を確認

ヨーロッパとアジアで発生した2つのサイバー攻撃のインシデント調査の結果、VHDランサムウェアは、Lazarusが所有し運用していることが明らかになりました。

[本リリースは、2020年7月28日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyは、ヨーロッパとアジアで発生した2つのサイバー攻撃のインシデント分析を行いました。その結果、2020年春に初めて公になったVHDランサムウェアは、悪名高い高度サイバー攻撃(APT)グループ「Lazarus(ラザルス)」が所有し運用していることが明らかになりました。このことは、主に金融関連を攻撃対象としてきたLazarusの戦略の変化を表しており、金銭を目的に大物を狙う準備が整ったことを示しています。これは、国家が支援するとされるAPTグループの中では非常に珍しいことです。

VHDランサムウェアは自己増殖の方法が特徴的で、当社を含むいくつかのサイバーセキュリティ組織が2020年の3月と4月に報告しています。このマルウェアは、攻撃対象固有の認証情報を使ってコンパイルした拡散用ユーティリティを使用しており、このことはAPT攻撃活動を連想させました。その当時、サイバー攻撃者は特定されませんでしたが、当社のリサーチャーがヨーロッパとアジアの企業に対するサイバー攻撃を分析する過程で、Lazarusが使用する既知のツールとVHDランサムウェアが密接に関連して使用されていたことを発見しました。当社のリサーチャーは、VHDランサムウェアとLazarusとの関わりを確信しています。

2020年3月から5月にかけて、当社のリサーチャーがVHDランサムウェアに関する2つのサイバー攻撃のインシデント調査を行いました。ヨーロッパの企業に対する攻撃の調査では、攻撃者に関する手がかりは多くは得られませんでしたが、マルウェアの拡散手法がAPTグループの手法と類似していることがリサーチャーの興味を引きました。さらに、この攻撃は既知の「big-game hunting(大物狙い)」で知られるサイバー脅威グループの通常の手口には当てはまらず、また、マルウェアサンプル数と公開情報が非常に少なかったことから、このランサムウェアファミリーは通常のケースとは異なり、ダークマーケットのフォーラムで広く取引されていない可能性がありました。

アジアの企業を狙った攻撃のインシデント調査では、VHDランサムウェアを用いた攻撃の全体像が明らかになり、リサーチャーはVHDランサムウェアとLazarusを関連付けることができました。中でも重要な決め手は、攻撃者が使用したバックドアはKasperskyが「MATA(マタ)」と名付けたマルチプラットフォーム対応のマルウェアフレームワークの一部だったことです。MATAフレームワークは当社が最近その詳細について調査結果を公開しており、多数のコードやユーティリティの類似性からLazarusに関連するものとしています。

このような関連性が、VHDランサムウェアを用いた攻撃の背後にLazarusが存在していることを示しています。また、Lazarusが独自のランサムウェアを作成し単独で運用し、企業に対して金銭目的の標的型ランサムウェアによる攻撃を行ったことが立証されたのは、これが初めてです。

Kaspersky GReATのシニアセキュリティリサーチャー、イワン・クフィアトコフスキ(Ivan Kwiatkowski)は次のように述べています。「Lazarusは常に金銭を狙っていますが、WannaCry(ワナクライ)以来、ランサムウェアへの関与はみられませんでした。今回のような企業を標的としたランサムウェアによるゲリラ的な攻撃方法では、効率の点でほかのサイバー犯罪グループにかなわないことは明らかです。しかし、Lazarusがこのようなタイプの攻撃に転じた事実は憂慮すべきことです。ランサムウェアの脅威はそのままでも十分に大きく、被害を受けた企業が倒産に追い込まれるほどの経済的影響を及ぼすこともあります。企業は重要なデータのバックアップを作成し、サイバー攻撃に対する防御策に投資することが必要です」

VHDランサムウェアの詳細は、Securelistブログ(英語)「Lazarus on the hunt for big game」、Kaspersky Dailyブログ(日本語)でご覧いただけます。
VHDランサムウェアに対する具体的な対策と対処方法については、当社までご相談ください。