Qilinは2022年に登場したRaaS(Ransomware-as-a-Service)のランサムウェアでAgendaとも呼ばれています。攻撃を行うアフィリエイトをダークネットのフォーラムで募集し、アフィリエイトは攻撃で得た身代金の一部を報酬として得ています。マイクロソフトの脅威インテリジェンスによると北朝鮮の新たな脅威がQilinを展開しているということです。
2024年にロンドンの病院を麻痺させたRaaS
このランサムウェアに関する最初のレポートは2022年8月にトレンドマイクロの研究者によって発表されました。「最近、Goプログラミング言語で作成された、当社の顧客を標的とした新たなランサムウェアを発見しました」と記したこのレポートによると、このランサムウェアの初期はアジアとアフリカの企業を標的にしていたようです。
このランサムウェアはQilinと呼ばれたり、Agendaと呼ばれたりしているようですが、トレンドマイクロのレポートによると、Qilinのユーザー名でダークウェブに投稿された内容と身代金要求メッセージからこのランサムウェアはAgendaと呼ばれていることが判明したということです。つまりQilinをユーザー名とした個人あるいはグループがAgedaと呼ぶランサムウェアを開発しRaaSとして運用しているようです。このランサムウェアのアフィリエイト向けの管理画面には「麒麟」のデザインが施されているということです。また当初はGoプログラミング言語で作成されていましたが、その後、Rust言語による新たなバージョンが作成されました。
Qilinが注目されるようになった攻撃の1つに2024年6月3日に起きたロンドンの病院に対する攻撃があります。正確にはSynnovis社に対するランサムウェア攻撃です。Synnovis社はロンドンを拠点とする病理検査サービスのプロバイダーで、イギリスの国民保険サービスであるNHS(National Health Service)系の病院や診療所に病理検査のサービスを提供している企業です。
Synnovis社のすべてシステムがランサムウェア攻撃による影響を受けたことで、Synnovis社のサービスを利用して診療を行っていた病院も影響を受け、手術を延期するなど患者の診療に影響が出たということです。また、6月20日にはQilinのリークサイトに患者の氏名や血液検査に関するデータ等が公開され、Synnovisは公開されたデータが同社のシステムから盗まれたデータだと認めています。イギリスの国家サイバーセキュリティセンター(NCSC)は6月24日に声明を出しSynnovis、NHS、法執行機関とともに徹底した調査を行っていると明らかにするとともに不審なメッセージや電話には警戒するように呼びかけました。
Black BastaやBlack matter、REvilと類似点
トレンドマイクロのレポートによると、QilinランサムウエアはBlack BastaやBlack matter、REvilと類似点があるということです。Black Bastaは2022年4月に確認されたランサムウェアでRaaSです。Blck BastaはFin7とつながりがあるとの見方もあります。Black Matterは2021年7月に登場したRaaSランサムウェアです。Black MatterはDarkSideランサムウェアの進化形でALPHVに関連しているようです。Revilはブラジルの食肉加工大手JBSやKaseyaなど数々の大規模なランサムウェア攻撃を行ったことで知られるRaaSランサムウェアです。これらランサムウェアはいずれもロシアとの関係が指摘されており、Qilinはこれらランサムウェアとの類似点があることに加え、アフィリエイトをロシア語のハッカーフォーラムで募集していることからロシアのグループとみられています。
そんな中、最近、マイクロソフトの脅威インテリジェンスが新たな北朝鮮の脅威に関するレポートを発表、マイクロソフト脅威インテリジェンスのX投稿によるとこの新たな北朝鮮の脅威が今年2月下旬以降、特定の組織に対してQilinランサムウェアを展開しているということです。この北朝鮮の新たな脅威グループは今年2月下旬以前の攻撃では独自のカスタムランサムウエアを使用していて、RaaSとして開発されたランサムウェアを使用するのはQilinが初めてだということです。
ニュースはランサムウェアの名前を攻撃グループ名として報道することが多いのですが、RaaSランサムウェアの場合、実際の攻撃者はアフィリエイトで、ランサムウェア名を冠した脅威グループは胴元としての存在でありサイバー犯罪のインフラ構築やツールの開発を担っています。マイクロソフト脅威インテリジェンスの指摘によれば、ロシアのハッカーとみられるグループが開発、運営しているQilinランサムウェアを北朝鮮のハッカーグループが展開している状況があるということですので、サイバー空間におけるロシアと北朝鮮の関係の一端を示している可能性があり注目されます。
■出典
https://www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html
https://www.bbc.com/news/articles/c9ww90j9dj8o
https://www.synnovis.co.uk/news-and-press/synnovis-cyberattack
https://www.ncsc.gov.uk/news/ncsc-statement-following-reports-of-a-synnovis-data-breach
https://www.trendmicro.com/ja_jp/research/22/j/ransomware-spotlight-blackbasta.html
https://www.sentinelone.com/anthology/blackmatter-ransomware/