「Babuk」「LockBit」「Chaos」など有名なランサムウェアの流出したソースコードを利用した亜種はダークウェブ上などで公開されており、入手に特別な労力は必要ありません。攻撃者に高度な専門性は無くても、うまく考えられたアフィリエイトスキームやランサムウェアを効果的に展開できるニッチな標的を見つけることで、参入のハードルは急激に下がり、企業と組織、個人の両方に脅威をもたらしています。
[本リリースは、2024年8月1日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、過去に流出したランサムウェアのソースコードを使用した、最近の攻撃に関するレポートを発表しました。このレポートでは、組織化された攻撃グループおよび単独の攻撃者の両方が利用する、有名なランサムウェア「Babuk」「LockBit」「Chaos」などの流出したソースコードを利用した「SEXi」「Key Group」「Mallox」について述べています。漏えいしたソースコードやそれを基にした亜種はダークウェブ上などで公開されることがあり、入手は容易で特別な労力は必要ありません。攻撃者に高度な専門性は無くても、うまく考えられたアフィリエイトスキームやランサムウェアを効果的に展開できるニッチな標的を見つけることで、参入のハードルは急激に下がり、企業と組織、個人の両方に脅威をもたらしています。
膨大な数のツールやランサムウェアのサンプルを自由に使いこなす、組織化されたサイバー犯罪グループは、独自のサンプルを保有していることが多い一方で、単独の犯罪者は、流出したランサムウェアのコードを基にした亜種を利用して攻撃を仕掛けることがよくあります。こういった“プロフェッショナル”な亜種の利用によって、参入したばかりのサイバー犯罪者も脅威となっています。ここでは、レポートで発表している三つのランサムウェアの攻撃活動を紹介します。
■ 「SEXi」
今年4月、サイバー攻撃活動グループ「SEXi」が、ホスティングプロバイダーPowerhostのチリのデータセンターにランサムウェアによる攻撃を行った際に使われたのが、新種の亜種「SEXi」です。同攻撃グループは、サーバー仮想化製品のVMware ESXiアプリケーションを標的としており、調査した各被害ケースでは全て、サポート対象外のバージョンを使用していました。
同攻撃グループの特徴は、標的のプラットフォームに応じて2種類のランサムウェアの亜種を展開することです。Linuxの場合は「Babuk」、Windowsの場合は「Lockbit」と、どちらも漏えいしたランサムウェアのサンプルの亜種を使用します。また、連絡手段としてコミュニケーションアプリの「Session」を使っている点も独特です。通常、ランサムウェアの攻撃者はメールアドレスやリークサイトのURLを記したメッセージを連絡先として残しますが、同グループは、複数の攻撃で共通した一つのSessionユーザーIDをメモに残していました。このことは、SEXiグループがダークウェブ上のリークサイトを持っていなかったという事実に加え、専門性に欠けていることを意味し、同グループをさらに際立った存在にしています。
■ 「Key Group」(別名「keygroup777」)
サイバー攻撃活動グループ「Key Group」は、2022年4月に攻撃を開始して以来、短期間に8種類のランサムウェアファミリーを利用しています。同グループの技術と永続化のメカニズムは、新しい亜種ごとに進化してきました。例えば、ランサムウェア「UX-Cryptor」の亜種では、複数のレジストリエントリを使用して永続性を確保していましたが、「Chaos」の亜種では、スタートアップフォルダーを使用する別のアプローチを取っていました。その多様な手口にもかかわらず、Key Groupは専門性に欠けたオペレーションで知られており、指令サーバー(C2)との通信にソフトウェア開発のプラットフォームであるGitHubのパブリックリポジトリを使用し、やりとりにインスタントメッセージサービスのTelegramを使用するなど、容易に追跡することができます。
■ 「Mallox」
「Mallox」はあまり知られていない亜種のランサムウェアです。2021年に初めて出現し、2022年にはアフィリエイトプログラムが開始されました。前述のSEXiやKey Groupとは異なり、Malloxの作成者はソースコードを購入したと主張しています。Malloxは、ロシア語圏のアフィリエイトのみと連携しており、ターゲットは収益が1,000万米ドルを超える組織に限定し、病院や教育機関は標的から外しています。2023年はMalloxを使用した攻撃が急増しましたが、これにはMalloxのアフィリエイト(ユニークIDで追跡済み)が関わっています。Mallox には、リークサイト、Torでホストされているサーバーなど、ほかのグループにも見られる、高額な身代金を要求することを目的として大企業や重要な組織を狙う典型的なビッグゲームハンティングの特徴が全て備わっています。
KasperskyのGReATでシニアサイバーセキュリティリサーチャーを務めるジョーント・ファン・デア・ウィール(Jornt van der Wiel)は、次のように述べています。「ランサムウェアを使った攻撃への参入ハードルは急激に下がっています。既存のランサムウェアがすぐに手に入ることや、アフィリエイトプログラムによって、新参のサイバー犯罪者でも深刻な脅威となり得ます」
■ 詳細は、Securelistブログ(英語)「How
“professional” ransomware variants boost cybercrime groups」でご覧いただけます。
■ ランサムウェアからご自身と企業を守るためにお薦めの製品は、こちらをご覧ください。
※ グローバル調査分析チーム(Global Research and
Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。