ブログ(脅威調査)

ファイア・アイ ブログ:ランサムウェア「Cerber」のC2サーバー遮断について

概要
2016年6月10日、ファイア・アイのエンドポイント・セキュリティ製品「FireEye HX」は、ランサムウェア「Cerber」による攻撃キャンペーンを検知しました。その後、ファイア・アイはオランダのCERTとWebホスティングプロバイダーと協力することで、検知から数時間以内にCerberのインストーラーを保有していたC2サーバーを特定し、遮断することに成功しました。

ファイア・アイはCerberが意図的にロシアと旧ソビエト連圏の複数の国を攻撃対象から外していたことから、東ヨーロッパ由来の攻撃であると推測しています。サーバーが遮断された6月10日以降、Cerberへの新たな感染は観測されていませんが、攻撃者が新たなC2サーバーを立ち上げ、攻撃を再開する可能性は否定できません。ファイア・アイでは引き続きCerberの動向に警戒するとともに、包括的なセキュリティ対策でお客様の情報資産を守っていきます。

ランサムウェア「Cerber」について
Cerberは電子メールにワードファイルとして添付され、誤って開封すると不正なマクロが実行されます。感染したPCには身代金を要求するメッセージが表示され、暗号化されたファイルを復号するにはビットコインの支払いを求められます。Cerberは日本語を含む12か国語に対応しており、ある攻撃キャンペーンでは5,000にもおよぶインストールが報告されていました。今年5月に「TeslaCrypt」ランサムウェアが突然の終息をむかえて以来、最も活発的なランサムウェアの一つとして世界中で猛威をふるっていました。

<Cerberに感染したPC画面>

このたび公開したブログ全文(英語)では、Cerberに関する詳細を解説しています。本件に関するご質問やご不明な点がございましたら下記ご連絡先までお問い合わせください。