Cisco Talos Intelligence Groupはこのほど、「New MortalKombat ransomware and Laplas Clipper malware threats deployed in financially motivated campaign」において、新たなランサムウェアとクリッパーマルウェアを使うキャンペーンが展開されていることを伝えた。この 2022年12月頃にはじまったとされ、金銭的な動機によるものとみられている。

  • New MortalKombat ransomware and Laplas Clipper malware threats deployed in financially motivated campaign

    New MortalKombat ransomware and Laplas Clipper malware threats deployed in financially motivated campaign

「MortalKombat」と呼ばれる新種のランサムウェアと「Laplas」と呼ばれるクリッパーマルウェアを使うキャンペーンが観測されている。このキャンペーンの典型的な感染経路はフィッシングメールとされ、マルウェアやランサムウェアの配信後に悪質なファイルを削除して痕跡を消し、分析を困難にするという多段階の攻撃チェーンになっていることが確認されている。

  • Infection summary flow diagram.

    Infection summary flow diagram.

MortalKombatは2023年1月に初めて検出された新たなランサムウェア。感染したシステム内のアプリケーションやデータベース、バックアップ、仮想マシンなどさまざまな形式のファイルを暗号化できるとされている。Windowsエクスプローラを破損し、実行コマンドウィンドウを無効にしてWindowsのスタートアップからアプリケーションとフォルダを削除するよう設計されているという。

Laplasは2022年11月に初めて観測された比較的新しいクリッパーマルウェア。感染したマシンのクリップボードに暗号資産ウォレットのアドレスがないかを正規表現を使って監視し、脅威者の暗号資産ウォレットに置き換えて不正な取引を行うことがわかっている。

このキャンペーンの被害者は主に米国の個人・組織とされ、英国、トルコ、フィリピンなどでも少ないながら被害が確認されている。

  • Victims of this campaign located

    Victims of this campaign located

個人、中小企業、大企業を標的とした暗号通貨の窃取や身代金支払いを目的としたキャンペーンが継続的に観測されている。暗号資産を取引する際は、受取人のウォレットアドレスについて細心の注意を払うことが望まれている。また、コンピュータを最新のセキュリティアップデートに更新することや堅牢なエンドポイント保護ソリューションを導入するなど保護策を実施することが推奨されている。