カルフォニアに拠点を置く画像センサーメーカーのオムニビジョンが、Cactusランサムウェア攻撃を受けたとしてこれらの攻撃に対して、警告しています。
Cactusは約 1 年前に出現したランサムウェアギャングで、VPN アプライアンスの欠陥をターゲットにして企業ネットワークにアクセスすると同時に、 自身を暗号化して検出を回避するという独特の動きをします。
Cactusはバッチスクリプトと人気圧縮ツール「7-Zip」を使って暗号化ツールのバイナリを取得し、元のZIPアーカイブを削除した後、このバイナリが実行されるとアンチウイルスソフトによるCactusの検出は困難となります。
同ランサムウェアのオペレーターは標的ネットワークを侵害後、スケジュールされたタスクとSSHバックドアを組み合わせて使うことで持続性を確立します。その後、リモートホストへのping送信やエンドポイントの列挙、ユーザーアカウントの特定といったいくつかの偵察活動を実行するほか、一般的なアンチウイルスソフトをアンインストールするためにバッチスクリプトを実行します。
対策として、EDRなら暗号化の時点で防げると推測します。データの持ち出しは防げない可能性は高いですが、暗号化の動きは検知することが多いです。
