PYSA ランサムウェアは ChaChi マルウェアを使ってバックドアを仕掛ける

PYSA ransomware backdoors education orgs using ChaChi malware

2021/06/23 BleepingComputer — ランサムウェア PYSA が、ChaChi と呼ばれる RAT (remote access Trojan) を使用して、医療機関や教育機関のシステムにバックドアを仕掛け、データを盗み出していた。2020年初頭に開発された Golang をベースにした、カスタム RAT マルウェアの ChaChi は、感染したシステムに PYSA のオペレーターがアクセス/制御するという役割を持つ。

この RAT が初めてワイルドになったとき、難読化機能/ポート転送機能/DNS トンネリング機能などは、持っていないツールであった。しかし、その後の攻撃で検出されたサンプルを分析したところ、これらの機能を全て含むようにアップグレードされていた。BlackBerry Threat Research and Intelligence Team は、BleepingComputer と事前に共有したレポートの中で、「ChaChi のコードは、2020年 Q1 の攻撃で最初に発見された後の、3月下旬〜4月上旬にかけて、難読化と持続性を含むようにアップデートされた。

さらに、ChaChi の亜種として、DNS トンネリングとポート・フォワーディング/プロキシ機能が追加されたバージョンが目立つようになってきた」と述べている。初期の ChaChi サンプルは、2020年3月にフランス地方政府のネットワーク上に展開されたものとなる。その後、このランサムウェア・ギャングは、アップグレードされたバージョンを使用して、医療機関から民間企業にまでいたる、多用な業界の垂直方向をターゲットにしてきた。2021年3月に発行された FBI Flash Alert によると、英国と米国12州の教育機関を標的にした、PYSA ランサムウェア活動がピークに達している。2020年3月以降、米国内外の政府機関/教育機関/民間企業/医療分野に対する、PYSA ランサムウェア攻撃が確認されているが、その正体は不明だと FBI は述べている。

この記事が指摘するのは、医療機関や教育機関は大量の個人情報や健康情報などを日常的に扱っているため、PYSA のようなランサムウェアの標的として最適であり、また、PYSA は被害者のネットワークを暗号化する前にデータを盗みだすという点です。病院や学校にはデータ・バックアップを行っている組織が少なく、また、古いシステムを使用しパッチの適用も少ないため、ランサムウェア攻撃者にとって、さらに格好の標的となります。PYSA ランサムウェアが初めて発見された 2019年10月は、この新たなランサムウェアに襲われた企業の報告が、表面化し始めたときでもあったとのことです。

%d bloggers like this: