ニュース 進化を続ける巧妙なランサムウェア「CERBER」

トレンドマイクロは5月24日、公式ブログで「『CERBER』バージョン6：ランサムウェアの変遷と今後の展開」と題する記事を公開しました。初検出から1年が経過した暗号化型ランサムウェア「CERBER」について、その変遷をまとめた内容です。



「CERBER」は、2016年3月に初めてロシアのアンダーグラウンド市場で確認されました。それ以来、ファイル構造、感染手法、各種機能等が何度も更新されており、その被害額は、2016年だけで20万米ドル（約2218万円）。米国を中心に、教育、製造、公共、テクノロジー、保健医療、エネルギー、運送等の分野が影響を受けています。



そして現在「CERBER」は、サンドボックスやセキュリティ対策ソフトを回避する機能も備えたバージョン「CERBER 6」に進化しています。



「CERBER」は、スパムメールや脆弱性攻撃ツール（エクスプロイトキット）により感染します。トレンドマイクロが入手したスパムメールは、「CERBER 6」を拡散させることを目的としたもので、圧縮された不正なJavaScriptファイルが添付されていました。そして、このファイルから、3つの感染手法が確認されました。1つは、感染PCへファイルがダウンロードされて実行される手法。もう1つは、スケジュールタスクを作成して2分後に実行される手法。さらにもう1つは、Windows PowerShell Scriptが組み込まれてコマンドが実行される手法です。



また「CERBER 6」には、暗号化しないファイルをチェックする機能が追加されています。たとえば2017年2月に確認された「CERBER 6」の亜種（「RANSOM_CERBER.F117AK」として検出対応）は、感染PCがファイアウォール、セキュリティ対策ソフト、スパイウェア対策ソフト等を備えているかどうか確認します。こうしたファイルの暗号化を回避することで、検出を遅らせる意図があると見られています。



さらに「CERBER 6」には、Windowsファイアウォールのルールを追加する機能もあります。これも、ファイアウォール、セキュリティ対策ソフト、スパイウェア対策ソフト等の外向けトラフィックをブロックし、検出を回避するのが狙いと見られます。最近では、不正なVBScript（拡張子VBS）を含んで自己解凍するSFXファイルとして拡散される亜種、他のバージョンよりも複雑な攻撃手順を行うDLLファイルとして拡張子される亜種等も確認されていますが、これも同様の狙いと考えられます。



今後は、さらに感染手順が多様化し、標的プラットフォームが拡大すると予測されています。システムを常に最新化し、不審なEメールに注意し、重要ファイルの定期的なバックアップを徹底し、職場でのセキュリティ意識を高める等、総合的なセキュリティ対策が必要でしょう。





