PYSAギャングはChaChiトロイの木馬を使用してランサムウェアを配信します
ランサムウェアギャングは、感染したシステムを完全に制御したり、ネットワーク全体に横方向に拡散したりするために、さまざまなマルウェアファミリに依存することがよくあります。最近、新しいトロイの木馬を武器庫に導入したランサムウェアギャングの1つは、PYSAランサムウェアまたはMespinozaランサムウェアギャングです。伝えられるところでは、彼らはChaChiと呼ばれる以前は検出されなかったトロイの木馬を使用しています。これは、政府および教育部門で活動している米国を拠点とするエンティティに対する攻撃ですでに使用されています。
他の多くのマルウェア開発者と同様に、PYSAギャングもGolangプログラミング言語に依存することを決定しました。 Golangの悪意のある動作は、技術的には検出が少し難しいため、ますます多くのサイバー犯罪者がGolangを使用しています。これにより、PYSAギャングがウイルス対策ツールやその他のネットワークセキュリティ製品を回避する可能性が高まります。
しかし、ChaChiトロイの木馬は何をしますか?
ChaChiトロイの木馬は、リモートアクセストロイの木馬(RAT)に典型的な機能とプロパティを備えた、十分に開発されたプロジェクトのようです。脅威は、Windowsレジストリキーとタスクスケジューリングサービスを悪用することで、侵害されたWindowsマシンで永続性を獲得できます。 。さらに、そのオペレーターは、ファイルシステムへのアクセスと操作、資格情報の盗用、プロキシサーバーの作成、リモートコマンドの実行などの機能を利用できます。
これらのすばらしい機能のすべてにもかかわらず、ChaChiトロイの木馬を巻き込む最近の攻撃の多くには、ランサムウェアのインプラントをドロップするという1つの最終目標がありました。もちろん、PYSAギャングは、これらの攻撃に独自のランサムウェアを使用しました。犯罪者は通常の消費者を追いかけず、代わりに、データを取り戻すために数十万ドルを支払うことを選択する可能性のある高価値のターゲットに照準を合わせます。
ChaChiトロイの木馬の標的は、添付ファイルを確認するかファイルをダウンロードするように依頼する詐欺メールを通じてアプローチされる可能性があります。従業員は、添付ファイルを操作するように求めるランダムな電子メールに注意する必要があります。さらに、ワークステーションには定期的にパッチを適用し、信頼できるウイルス対策ツールで保護する必要があります。