ロシアとウクライナの間で紛争が続いていることは、誰もが承知の通りです。地上戦が繰り広げられる一方で、ロシアとウクライナに対するサイバー攻撃も増加しています。数週間にわたり紛争が激化するにつれ、悪意のあるサイバー活動が増加しています。この記事では、この紛争に関連するニュースで報じられた悪意のある攻撃のほとんどを取り上げました。 ロシア-ウクライナ サイバー戦争。
- 密閉ワイパー:
このマルウェアは23月XNUMX日に初めて確認され、ウクライナを標的としています。HermeticWiperは、Hermetica Digital Ltd.の証明書が含まれていることから命名されました。EaseUSの正規ドライバを悪用し、サービスをロードすることでプロセスを消去します。また、レジストリエントリとボリュームシャドウコピーを利用してクラッシュダンプを無効化します。MBR、MFT、および複数の場所にあるファイルをランダムバイトで上書きします。感染したマシンは、MBRが上書きされるため起動できなくなります。
- ウィスパーゲート:
これは13年2022月16日に初めて確認され、ウクライナを標的とした破壊的なマルウェアです。MBRコードを2ビットアセンブリコードと身代金要求メッセージで上書きすることでディスクを破壊します。この場合、身代金要求メッセージは単なる戦術であり、復元手段はありません。MBRの上書きに失敗した場合は、ファイル破損ツールを含む第0段階が実行されます。このマルウェアは、特定のディレクトリにある特定の拡張子のファイルを、ファイル名にランダムな拡張子を追加することで、一定数のXNUMXxCCバイトで上書きします。
- アイザック・ワイパー:
ウクライナを標的とした新たなマルウェアが登場しました。Isaac Wiperは24年2022月0日に初めて発見されました。このマルウェアは物理ドライブを識別し、各ディスクの最初の10000xXNUMXバイトを消去します。また、論理ドライブも識別し、それらのドライブ上のすべてのファイルをランダムバイトで消去します。
- RURansom:
RURansomはその名前にもかかわらず、暗号化されたファイルを不可逆的に破壊するため、ランサムウェアの亜種ではなくワイパーです。ワームのように拡散し、すべてのリムーバブルディスクとマップされたネットワークドライブに自身をコピーします。拡散後、.bakファイルを除くすべてのファイル拡張子の暗号化を開始します。.bakファイルは削除されます。ファイルは、base64の長さを持つランダムに生成されたキーで暗号化されます。RURansomが使用する暗号化アルゴリズムはAES-CBCです。
RURansomが使用する暗号化キーは暗号化されたファイルごとに固有であり、どこにも保存されません。そのため、暗号化は不可逆であり、このマルウェアはランサムウェアの亜種ではなくワイパー型マルウェアに分類されます。 マルウェアの亜種 ロシア国外での実行を避けるため、IP アドレスを確認してください。
Seqrite はどのようにしてユーザーを保護しますか?
Seqrite は、上記のマルウェアを次の検出名で検出します。
- ウィスパーグテ.S26928601
- ウィスパーグテ.S26928613
- ウィスパーゲートCiR
- HrmetcWipr.S26876287
- ハーメティックワイパーCiR
- ハーメチックワイパー
- Win32CiR
- RURansom
- MSIL
結論
ロシアとウクライナの紛争が続く中、マルウェア作成者は新たなツールや手口を使って被害者を誘い出そうとしています。進化を続けるサイバー攻撃に対する最善の防御策は、常に警戒を怠らず、安全なサイバー衛生を実践することです。
Seqrite EPS製品を最新のウイルス定義に更新してください。 セクライト あらゆる動向を継続的に監視し、検出情報をタイムリーに更新していきます。現時点では、報告されたすべてのマルウェアに対する保護対策を既に実施しています。
