行く面積
メーンメニュー 行く
本文 行く

ブログ BLOG

AppCheck 【企業データの窃盗·暗号化するHiveランサムウェア情報】
2021-08-12
23238

企業を対象に活動しているランサムウェア(Ransomware)の中には、まず内部のネットワークに侵入して収集可能な重要データを事前に収集し外部に流出した後、ランサムウェアでファイルを暗号化をし、ファイル復旧のための金銭とともに、事前に流出したデータに対する処理費用を2重に要求するランサムウェアがあります。

 

 

企業のデータ流出は、従来から様々な悪性コード感染を通じて情報流出をする行為があったため、特に新しいものではありませんが、流出した情報に対して金銭を要求するという点は暗号通貨という媒体によってもたらされた変化だと言えます。

 

今回お見せするHiveランサムウェアは、VirusTotalに2021年6月下旬頃に登録されており、企業のみを対象に流布活動を行うものだと考えられています。

 

 

実行されたHiveランサムウェアは、システムの復元ができないようにshadow.batファイル作成および実行を通じて、「vssadmin.exe delete shadowsallquiet」コマンドを実行します。

 

 

ファイル暗号化時は、..hiveファイル拡張名の形態に変更し、ファイル復旧のための.key.hiveキーファイルを各ドライブに生成します。

 

 

決済案内ファイル(HOW_TO_DECRYPT.txt)では、Torウェブブラウザを通じて特定のサイトに接続するよう誘導しており、ログインID及びパスワード入力画面を表示しています。

 

 

実際のサイトにアクセスすると、認証のためのIDとパスワードを入力してログインする方法で作成されています。

 

 

また、HiveLeaks流出情報提供サイトでは、ランサムウェア攻撃により外部流出したデータに関する情報を掲示し、金銭を誘導している様子を知ることができます。

 

 

AppCheckは、Hive ランサムウェアによってファイルの暗号化が進められる場合、遮断および遮断以前に毀損されたファイルに対する自動復元をサポートしています。

 

Hiveランサムウェアをはじめとする企業の標的型ランサムウェアの場合は、企業が使用しているVPN等のソリューションの弱点を利用して内部に侵入したり、外部との接続が可能な遠隔制御(RDP)アカウントに無作入代入攻撃方式によりアクセス権限を獲得する方法でも侵入を試みたりするので、攻撃にさらされないようセキュリティを強化する必要があります。

 

https://appcheck.jp/

リンクをクリックすると、AppCheckの紹介ページに移動します。

次の投稿 前の投稿 リスト