OPM 違反の余波: Locky が被害者から盗んだデータを悪用
Locky ウィルス は、今年の上半期における最もアクティブなサイバー感染の 1 つであったことが認められました。とは言え、その配布方式は拡張されており、このウィルスがまだ早々にその優位な立場を明け渡すであろうとは思われていません。事実、現時点では、悪意のあるメールの添付ファイルのうち全体の 97% に Locky ウィルス自身、あるいはその編集されたバージョンが含まれていると見られています。これらのバージョンには、まだ専門家が対峙していないものとして、Thor、Shit ウィルス、Perl ランサムウェア、また可能性として他にも 2、3 の悪意のある Locky のリメーク版があります。
Locky の配布方法や感染手法の話をすると、日々学ぶほどのことはないという言い方は誤りと言えるでしょう。例えば、11 月の初旬、ウィルスのアナリストはまた別のマルバタイジングの大型キャンペーンである ShadowGatte が、現在エクスプロイト・キットの Bizarro Sundown 経由で 2 つのタイプの Locky を拡散していることを発表しました。これは、Locky の開発者が初期の頃そのウィルスの配布に使用していた Angler や Rig といったキットに新たに加わった危険なものです。しかし、通常のユーザーにとって有益な、最も重要な発見と言えば、恐らく PhishMe チームによってなされたことでしょう。
PhishMe のリサーチャーは、ハッカーがユーザーを騙して Locky のコードが含まれているメールの添付ファイルをダウンロードさせるために使う新しい戦術を発見しました。専門家はこれを OPM Bank Fraud または単純に OPM スキャムと読んでいます。OPM とは US Office of Personnel Management (アメリカ連邦政府の人事局) を意味します。これはとある機関で、その名前の元でハッカーが潜在的な被害者に対して財務的な違反の可能性について偽の通知を送るというものです。ユーザーには次のようなメッセージが届きます:
Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.
このメールには、感染性の JavaSciript ファイルを隠し持つ ZIP ファイルの添付ファイルが付いてきます。ユーザーにこのファイルを開かせるだけで、直ちに Locky のダウンロードが始まります。このウィルスが特に 2014 年および 2015 年に発生した悪名高い OPM 違反の被害者をターゲットにしているところに興味が持たれます。言い換えると、Locky の作成者は以前サイバー犯罪の被害者になった人の PC に感染するために、その恐怖心を悪用しようとしているのです。その痕跡を隠すために、ハッカーはすでに 323 種類のユニークな添付ファイル名を使用していますが、ウィルスのコードの方は 78 以上の別々の URL からダウンロードされています。そのような振る舞いによりウィルスの検出が複雑になり、一般的に、ランサムウェアの配布を全く別の次元に押し上げています。そこで、企業の事業主の方々には、自社のスタッフにオンライン・セキュリティの予防法を伝え、信頼のおけるデータ・バックアップ・ソリューションを選ばれるよう、強くお勧めします。