複数の高度な機能を持つランサムウェア「Sodin」、アジアを中心に拡大(カスペルスキー)
カスペルスキーは、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見したと発表した。
脆弱性と脅威
脅威動向
この脆弱性を悪用することで、メールの添付ファイルを開いたり、悪意のあるリンクをクリックするなど、ユーザが操作を行うことなく感染する。攻撃者は脆弱なサーバを見つけて悪意あるファイルradm.exeをダウンロードさせるコマンドを送るだけで、Sodinがローカルに保存され実行される。また、ランサムウェアには珍しく32ビットプロセスから64ビットコードを実行する「Heaven's Gate」という手法を使用している。
SodinはRaaS(Ransomware as a Service)のスキームのひとつとみられ、攻撃手法を自由に選ぶことができる。Sodinではアフィリエイトプログラムを経由して配布されている形跡があり、検知の17.6%は台湾、9.8%が香港、8.8%が韓国など、アジア地域を主な標的としている。検知の回避にCPUアーキテクチャを使用するなど膨大なリソースにより作成されている可能性があり、今後も攻撃が増加するとみている。
《吉澤 亨史( Kouji Yoshizawa )》