新しいStopCrypt

ほぼこもセキュリティニュース By Terilogy Worx

StopCryptはランサムウェアの名前です。
このマルウェアの新しい亜種が確認されています。

  • 初期感染
    まずはマルバタイジングなどが入り口となります。
    フリーソフトウェア、有償ゲームのチート、ソフトウェアのクラック版といったものとして配布されているものを入手するところから始まる例があります。

     

  • 第一段階
    一見無関係なDLLファイルを読み込み、しばらく様子を見ます。
    長時間の遅延を行うことによって、解析を逃れようとする機構を持っています。

     

  • 第二段階
    次に、API呼び出し環境を構築します。
    通常実施するAPI呼び出しを使用すると、それはセキュリティツールでフックされて検査されることを回避することを狙い、この段階が設置されているようです。

     

  • 第三段階
    次に、動作環境とするプロセスの空洞化を実現します。
    いわゆるホロー化です。

     

  • 最終段階
    準備は整いました。
    マルウェアは目的のペイロードの持ち込みを行います。
    感染活動を行っているユーザのAppDataのPATHの下にマルウェアのバイナリを置き、定期的に自動実行されるようにスケジュールを仕掛けます。
    動作したマルウェアは暗号化を開始します。
    暗号化されたファイルのファイル名は、拡張子「.msjd」が追加されます。
    そして、暗号化されたファイルが置かれたディレクトリには、脅迫文ファイルとして「_readme.txt」が設置されます。

ところで、StopCryptの名前をみなさんは知っていたでしょうか。
LockBit、BlackCat、Clopなどの名前はセキュリティ関連のニュースの記事などで見る機会が多いかもしれませんが、StopCryptの名前はそうではないかもしれません。
LockBitなどのよく話題になるランサムウェアは、ターゲットが大きな企業などになっています。
そして、脅迫の金額も大きく、横展開も激しい、ひとつひとつが大きな脅威活動になっています。
一方、StopCryptは、個人などがターゲットになっていて、脅迫金額も大きくないけれども、侵害の件数が多くて結果として被害者数が多い、というものとなっています。

会社などの組織のメンバーとしての私たちにとってはLockBitなどが注意の対象となるように思われますが、個人としてはStopCryptのような脅威のほうに注意を向けなければならないのかもしれません。

参考記事(外部リンク):New Multi-Stage StopCrypt Ransomware
blog.sonicwall.com/en-us/2024/03/new-multi-stage-stopcrypt-ransomware/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。