RomCom Group’s Underground Ransomware Exploits Microsoft Zero-Day Flaw
2024/09/03 SecurityOnline — ロシアを拠点とする RomCom (別名 Storm-0978) に関連する、新たなランサムウェアの亜種である Underground が、FortiGuard Labs により発見された。このマルウェアは、被害者の Windows マシン上のファイルを暗号化し、復号化のための身代金を要求するものだ。Underground は 2023年7月から活動しており、建設/製薬/銀行/製造などの、様々な分野を標的にしている。
RomCom は、Microsoft Office と Windows HTML の脆弱性 CVE-2023-36884 を悪用することで知られている。その一方で、フィッシングメールによるアカウント窃取や、IAB (Initial Access Brokers) からのアクセス権の購入などの、一般的な手口も使っているようだ。
システムへの侵入に成功した Underground は、セキュリティ対策を無効化し、シャドーコピーとイベントログを削除した後に、ファイルを暗号化し、支払いを要求するランサム・ノートを残す。なお、RomCom が運営するデータ漏洩サイトは、支払いを拒否した被害者から盗んだ情報を公開するためのものだ。
Underground ランサムウェアは、被害者の Windowsマシン上のファイルを暗号化し、復号化のための身代金を要求するために機能している。いくつかのランサムウェアとは異なり、Underground はファイル拡張子の追加/変更を行わないため、被害者によるファイル侵害の特定が難しくなっている。そして、最終的には、”readme!!!.txt” というタイトルの、攻撃者の要求が記された身代金要求のメモが残される。
Underground の被害範囲は全世界に及んでいる。現時点において、前述のデータ流出サイトには、米国/フランス/ドイツ/スペイン/韓国/台湾/シンガポール/カナダなどを含む、16ヶ国の被害者がリストアップされている。さらに、同グループは、Telegram channel とクラウド・ストレージ・サービスの Mega を利用して、盗み出したデータを拡散している。
それぞれのユーザー組織は、特に CVE-2023-36884 のような既知の脆弱性に対するパッチ適用を確認すべきである。さらに、システムを最新の状態に保ち、フィッシングなどの攻撃経路の危険性について、従業員を教育することが強く求められる。
Microsoft Office と Windows HTML の、古い脆弱性である CVE-2023-36884 が悪用され、ランサムウェアによる被害が広がっているようです。この CVE-2023-36884 について、お隣のキュレーション・チームに聞いてみたところ、2023年7月の Patch Tuesday で対応されていると教えてくれました。よろしければ、脆弱性 CVE-2023-36884 で検索も、ご利用ください。悪用する側にとっては、脆弱性の新旧は関係ないのですね。
IoT OT Security News 
You must be logged in to post a comment.