ランサムウェア「Mole」、英大学などが被害--汚染サイトを訪問しただけで感染

提供：iStock

　英国の大学などに影響を及ぼしたランサムウェア攻撃の背後には、おそらく、マルバタイジング（悪意ある広告）キャンペーンの広がりがあったとみられる。この攻撃では、マルウェアが埋め込まれたサイトを訪問しただけのユーザーを感染させられる。

　ユニバーシティ・カレッジ・ロンドン（UCL）とアルスター大学はいずれも、ランサムウェアの被害を受けた後にシステムをオフラインにした。問題のランサムウェアは現在、セキュリティ研究者によって、「Mole」というランサムウェアだと特定されている。Moleは一種のファイル暗号化ソフトウェアで、4月に初めて出現した。「Mole」と命名されたのは、これが「CryptoMix」ランサムウェアファミリの1つで、感染したファイルの拡張子を「.MOLE」に変えるからだ。

　 Proofpointのサイバーセキュリティ研究者らは新たな調査結果を公開し、このランサムウェアを「AdGholas」マルバタイジングキャンペーンと関連づけた。AdGholasは通常、悪意ある広告を利用して、ランサムウェアではなく、金融機関を標的にするトロイの木馬型マルウェアを拡散する。密かにデータを盗むツールよりもかなり厄介な攻撃だ。

　両大学は、Moleの標的となった組織の中でも特に有名なところだが、このマルバタイジングは、汚染されたホストサイトを介して世界各国を標的にしたもっと広範な攻撃の一部だったという。

　ランサムウェアがネットワークに侵入できたのは、ユーザーが悪意ある広告をクリックする必要すらなかったのも、理由の1つだ。「Astrum」という脆弱性攻撃ツール（エクスプロイトキット）を利用する攻撃者のせいで、汚染されたサイトを訪問するだけで感染する。

　このランサムウェア配布キャンペーンを発見した研究者の「Kafeine」は、次のように述べている。「感染するのに広告をクリックする必要はまったくない。広告を表示するだけで十分だ。マシンが脆弱で、標的にされれば、ユーザーが何も操作しなくても感染する」

　6月14〜15日（現地時間）に、感染経路であるAdGholasは、Astrumを利用して、英国とおそらく米国の標的に対してランサムウェアを配布したとみられる。

　Moleに感染したマシンは、ファイルデータを復号するのと引き替えに0.5ビットコイン（現在の価値で1364ドル）を要求する身代金要求文が表示される。

提供：Proofpoint

　だが、UCLとアルスター大学の場合は、身代金を支払わなかった。感染の前日にとっていたバックアップのおかげで、最初のダウンタイムの後に、システムを再起動できたのだ。