Doctor Web Pacific 江川です
JPCERT/CCで表記の情報が公開されましたので、ご紹介します。
侵入型ランサムウェアをご存じでしょうか。
侵入型は、企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃を指しています。
VPNの脆弱性やVPNのIDパスワードを搾取してネットワーク内部に侵入してくる攻撃になります。
侵入型ランサムウェアは、侵入経路を調査するのに膨大な時間を費やす可能性が有ります。
このニュースでは、スムーズな初動対応を行うためWindowsイベントログが利用できるかの調査を行った情報が共有されています。
調査対象で利用したランサムウェアは、「Conti」「Phobos」「Midas」「Badrabbit」「Bisamware」になり、全てのランサムウェアに対して、イベントログが見受けられました。
このことから、イベントログを調査することにより、被害調査のサポートとして有効活用でいる情報が得られることが解りました。
侵入型ランサムウェア攻撃を受けた際の参考にご活用いただければと思います。
詳しくはニュース本文をご確認ください。
(ニュース本文は以下をご覧ください)
https://blogs.jpcert.or.jp/ja/2024/09/windows.html