ソフォスは、Pythonで記述されている新しいランサムウェアである「Memento」の詳細を公開した。
ランサムウェアの展開
攻撃者は、2021年10月23日にMementoランサムウェアを初めて展開。最初にファイルを直接暗号化しようと試みたものの、セキュリティソリューションによって阻止されたという。このため、攻撃者は戦術を変えており、使用するツールを変更してランサムウェアを再展開。無料版のWinRARの名前を変更して使用し、暗号化されていないファイルをパスワードで保護されたアーカイブにコピー後、パスワードを暗号化して元のファイルを削除したとしている。
なお、攻撃者はファイルを復元するためにビットコインで100万ドルの身代金を要求したものの、攻撃を受けた組織は、攻撃者から情報を得ることなくデータを復旧できたという。
ソフォスの上級脅威リサーチャーであるSean Gallagher氏は「人間が手動で操作する現在のランサムウェア攻撃は、明瞭で単調であることはめったにありません。攻撃者は、攻撃の過程で何かの機会を見つけたり、過ちを犯したりすると、その場で柔軟に戦術を変更します。標的のネットワークに侵入できれば、決して手ぶらで帰ることはありません。Mementoによる攻撃はその代表的な例であり、徹底した防御が必要であるという重要な教訓を与えています。ランサムウェア攻撃や暗号化の試行を検知できる能力も重要ですが、ネットワークへの水平移動など、通常とは異なる活動があった場合にIT管理者に警告できるセキュリティ技術を導入しておくことも重要です」と述べている。
【関連記事】
・ソフォス、ランサムウェア攻撃者の身代金要求手段の上位10通りを公開
・フィッシング攻撃の定義について共通理解が得られず――ソフォス調査
・ソフォス、東京にデータセンターを開設 国内でのデータ管理・利用が可能に
