サイバー犯罪者、フィッシングメールでインターポールになりすまし被害者にランサムウェアを感染させる

サイバー犯罪者が国際的な法執行機関になりすまし、ランサムウェア攻撃につなげることを狙ったフィッシングキャンペーンを展開しています。

Bitdefender Antispam Labが7月1日に公開したブログ投稿によると、このフィッシング攻撃はヨーロッパ、アジア、中東、北米の中小企業を標的としており、インターポールの「サイバー犯罪捜査班」を名乗る送信元からのメールを使用しています。

この偽インターポールメールは、受信した企業が不審な、あるいは詐欺的な活動に関与している、またはその対象となっている可能性があるとして、証拠とされる内容を確認するためにファイルを至急開くよう被害者に求めます。

インターポールを装い、犯罪への関与の可能性を示唆することで、攻撃者はメッセージが偽物である可能性を考慮する間もなく被害者が即座に反応するようソーシャルエンジニアリングを仕掛けようとしています。

問題のファイルはProton Driveに保存されており、メール内に埋め込まれたリンクからアクセスできます。アクセスにはパスワードが必要で、これも最初のフィッシングメールに記載されています。ファイルを開くと、動画ファイルに偽装された実行ファイルへと誘導され、これを実行するとシステムがランサムウェアに感染します。

関連記事: ランサムウェアがサイバーセキュリティにおいて最も執拗かつ高コストな脅威であり続ける理由

身代金メモには具体的な身代金要求額は記載されておらず、代わりに被害者に対しピアツーピア型のプライベートメッセージングサービスであるToxを通じて連絡するよう指示しています。

Bitdefenderのセキュリティアナリスト、Alina Bizga氏は同社のブログで次のように述べています。「この手法はランサムウェアの攻撃者の間でますます一般的になっています。すべての被害者に同じ金額を要求するのではなく、攻撃者はまず連絡を確立してから交渉することを好む傾向があります」

さらに同氏は「最終的な身代金の額は、組織の規模やそのデータの推定価値、支払い能力によって左右される可能性があります」と付け加えています。

標的となった組織には、食品・農業、法律サービス、製薬、メディア、テクノロジー、金融といった分野の企業が含まれています。

研究者らは、名前すら付いていないと見られるこのランサムウェア実装は比較的単純なもので、主要なランサムウェア攻撃グループに見られるような高度な機能の多くを欠いていると指摘しています。

このランサムウェアキャンペーンや同様の手口を使う他の攻撃の被害に遭わないよう、Bitdefenderは特に中小企業に対し、必要であれば公式の窓口を通じて確認するなど、心当たりのない連絡はすべて事前に真偽を確認するよう推奨しています。

また、Bizga氏がブログ投稿で指摘しているとおり、法執行機関が緊急の警告をメールで連絡してくることは極めて考えにくいことです。

同氏は「今回のキャンペーンにおける最大の危険信号の一つは、その配信方法そのものです。攻撃者はインターポールを装っていますが、正規の法執行機関がパスワード保護されたファイルへのProton Driveリンクを含む未承諾のメールを送りつけ、不正行為の疑いがある証拠を確認するよう組織に求めることはありません」と述べています。

翻訳元: https://www.infosecurity-magazine.com/news/cybercriminals-pose-interpol/

ソース: infosecurity-magazine.com