ESET/マルウェア情報局

「Avaddon」ランサムウェアの解析レポート公開

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「『Avaddon』ランサムウェアの解析レポートを公開 ~数多くの攻撃バリエーションを持ち進化する実態を確認~」を再編集したものです。

■“Avaddonランサムウェアの解析レポート”の主な内容

情報公開型(暴露型)のランサムウェア「Avaddon」

 AvaddonはRaaS(Ransomware as a Service)として提供されているランサムウェアです。Avaddonランサムウェアを使った攻撃は数多くのバリエーションが確認されており、複数の攻撃者がサービスを利用していると考えられます。

 2020年8月に、Avaddonのサービス提供者は窃取した機密情報を公開するためのウェブサイトを立ち上げています。これは二重の脅迫(double extortion)と呼ばれる手法で、被害者からさらなる金銭を要求するためにAvaddonだけでなく、MazeやNemty等多くのランサムウェアで採用されています。

Avaddonの情報公開脅迫ウェブサイト

日本国内に向けた攻撃を確認

 Avaddonランサムウェアの感染経路は複数確認されていますが、多くの拡散に使われたのが2019年の初め頃に登場したボットネット「Phorpiex」です。

JS/Danger.ScriptAttachmentの日別検出数の推移(2020年・日本国内)

 2020年6月5日頃、Phorpiexボットネットを使用したAvaddonランサムウェアの拡散は始まり、6月9日には日本のメールアドレス宛にメールが多数送信され、日本をターゲットにした攻撃を仕掛けたと考えられます。このメールはESET製品でJS/Danger.ScriptAttachmentとして検出されています。

バージョン間における差異を発見

 Avaddonはいくつかの文字列を暗号化してプログラム内部に保持しており、その暗号化(復号)方法は複数のバリエーションが確認されています。

 また、Avaddonランサムウェアはファイルを暗号化するだけではなく、動作している環境の検知、ファイル復元の防止、ランサムノートの作成など、複数の機能を持っており、バージョン間で差異があることを発見しました。本レポートではAvaddonが持つさまざまな機能について解析の結果を詳細に解説しています。

Avaddonに関連するイベントのタイムライン

 マルウェアなどのインターネット上の脅威は日々高度化・巧妙化が進み、法人、個人を問わず金銭的被害や機密情報の漏えいなどリスクが増大しています。このような状況においては、被害に遭わないために最新動向を知り、適切なセキュリティ対策を実施することが重要です。

 キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威やマルウェアの動向の情報収集および分析を実施しています。さらに、セキュリティ対策に必要な情報をレポートとして定期的に発行し、国内のセキュリティ対策の立案を支援しています。

※レポートは無料でダウンロードできます。

この記事の編集者は以下の記事もオススメしています