DNSでNevadaランサムウェアの足跡を辿る | WhoisXML API

脅威レポート

DNSでNevadaランサムウェアの足跡を辿る

Resecurityの研究者によると、最近の脅威アクターは、サービスとしてのランサムウェア(RaaS)モデルを介し、ダークウェブでNevadaランサムウェアを広めています。1 Nevadaは2023年1月だけでも数回バージョンアップされており、現在もWindowsとLinuxのユーザーを苦しめています。

AlienVault OTX2 のセキュリティ侵害インジケーター(IoC)をもとに、WhoisXML APIが、DNSにおけるNevadaの足跡を辿りました。

当社の調査の結果、以下が明らかになりました。

  • IoCのドメイン名が名前解決した8個のIPアドレス
  • IoCドメイン名1個の過去のWHOISレコードから、編集されていない登録者メールアドレス1個
  • 1個のIoCの登録者メールアドレスと同じメールアドレスを使っていた70超のドメイン名。そのうち1個は悪意あるドメイン名と確認
  • 一部のIoCと同じIPアドレスを共用していた1,100超のドメイン名。そのうち1個はマルウェアホストと判明
  • githubclickcontinuerepositorysignupおよびsubmitという文字列を含む2,000超のドメイン名。そのうち3個は悪意あるドメイン名と確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.resecurity.com/blog/article/nevada-ransomware-waiting-for-the-next-dark-web-jackpot
  • [2] https://otx.alienvault.com/pulse/6408625672614e92a996a642
WhoisXML APIを無料でお試しください
トップページ