キヤノンマーケティングジャパン株式会社(以下キヤノンMJ)は、最近流行している情報公開型のランサムウェア「Avaddon(アヴァドン)」の解析レポートを公開しました。今回の解析結果では、Avaddonを用いた日本国内を標的とする攻撃が確認されました。さらに、これまで明らかになっていないバージョン間の差異を発見し、Avaddonが数多くの攻撃バリエーションを持ち、進化を続けているその実態も確認しました。

  • Avaddonランサムウェアの解析

“Avaddonランサムウェアの解析レポート”の主な内容 情報公開型(暴露型)のランサムウェア「Avaddon」

AvaddonはRaaS(Ransomware as a Service)として提供されているランサムウェアです。Avaddonランサムウェアを使った攻撃は数多くのバリエーションが確認されており、複数の攻撃者がサービスを利用していると考えられます。

2020年8月に、Avaddonのサービス提供者は窃取した機密情報を公開するためのWebサイトを立ち上げています。これは二重の脅迫(double extortion)と呼ばれる手法で、被害者からさらなる金銭を要求するためにAvaddonだけでなく、MazeやNemty等多くのランサムウェアで採用されています。

  • Avaddonの情報公開脅迫Webサイト

    Avaddonの情報公開脅迫Webサイト

日本国内に向けた攻撃を確認

Avaddonランサムウェアの感染経路は複数確認されていますが、多くの拡散に使われたのが2019年の初め頃に登場したボットネット「Phorpiex」です。

2020年6月5日頃、Phorpiexボットネットを使用したAvaddonランサムウェアの拡散は始まり、6月9日には日本のメールアドレス宛にメールが多数送信され、日本をターゲットにした攻撃を仕掛けたと考えられます。このメールはESET製品でJS/Danger.ScriptAttachmentとして検出されています。

  • JS/Danger.ScriptAttachmentの日別検出数の推移(2020年・日本国内)

    JS/Danger.ScriptAttachmentの日別検出数の推移(2020年・日本国内)

バージョン間における差異を発見

Avaddonはいくつかの文字列を暗号化してプログラム内部に保持しており、その暗号化(復号)方法は複数のバリエーションが確認されています。

また、Avaddonランサムウェアはファイルを暗号化するだけではなく、動作している環境の検知、ファイル復元の防止、ランサムノートの作成など、複数の機能を持っており、バージョン間で差異があることを発見しました。本レポートではAvaddonが持つさまざまな機能について解析の結果を詳細に解説しています。

  • Avaddonに関連するイベントのタイムライン

    Avaddonに関連するイベントのタイムライン

マルウェアなどのインターネット上の脅威は日々高度化・巧妙化が進み、法人、個人を問わず金銭的被害や機密情報の漏えいなどリスクが増大しています。このような状況においては、被害に遭わないために最新動向を知り、適切なセキュリティ対策を実施することが重要です。

キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威やマルウェアの動向の情報収集および分析を実施しています。さらに、セキュリティ対策に必要な情報をレポートとして定期的に発行し、国内のセキュリティ対策の立案を支援しています。

※レポートは無料でダウンロードできます。

※本記事はキヤノンマーケティングジャパンのオウンドメディア「マルウェア情報局」から提供を受けております。著作権は同社に帰属します。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン