サイバーセキュリティ企業、パロアルトネットワークスの脅威分析チームUnit42が2021年第1四半期(1~3月)に観測したランサムウェアは113種類にのぼったということです。メディア報道では特定のランサムウェアに関心が向く傾向がありますが、実際には様々な種類のランサムウェア攻撃が仕掛けられている実態があるようです。
感染の31.7%はRyuk、次いでSodinokibi20%
Unit42によると、2021年第1四半期(1~3月)に確認されたランサムウェアファミリー(亜種)の数はVirlockが全亜種数の6.7%を占めてもっとも多く、次いでMakpo5.2%、Ryuk4.8%と続いています。ただし、全亜種の中で亜種の数が多い上位15のランサムウェアの亜種が占める割合は52.3%にとどまり、残りの47.7%は「その他」として括られていることから、亜種の数が少ないランサムウェアが相当程度あることが伺えます。
一方、感染数全体に占めるランサムウェアファミリーの割合を見ると、Ryukが断然多く31.7%を占めており、次いでSodinokibi20%、Maze15%と続いています。亜種の数ではRyukは3番目、Sodinokibiは6番目、Mazeはその他の扱いとなっているようですから、亜種の数の多いことが感染の高さとイコールにはならない結果だといえます。
ランサムウェアの配布に利用されたプロトコルとしては、SMTPが45%と断然多く、次いでIMAP26.5%、Web-Browsing22.3%となっていて、メールが依然としてランサムウェアの配信にもっとも使われており、さらにWebの閲覧等によって感染させる手法も多く行われていることを示しています。ちなみにメールでの配布はPOP3も3.8%を占めていますので、メールを悪用したランサムウェアの配信が全体の75%を占めている状況です。
ランサムウェアを検知したファイルは、PEファイルが8割を占め圧倒的に多く、ほとんどのランサムウェアはアーカイブファイルを添付したメールとして配信され、アーカイブファイルの中に偽のドキュメントファイルのアイコンのついた1つ以上のマルウェアが含まれているということです。
メールやチャットでの身代金要求も
ランサムウェアの身代金要求にも様々な手法があり、メッセージボックスをポップアップで開いたり、テキストファイルを残したりするパターンが一般的のようですが、Makop、Dharma、Ryuk、DearCryなどでは追跡が不可能なメールアカウントからのメールで連絡を求めてくるケースもあり、また、チャットを使って身代金を要求するケースもあるということです。
ランサムウェアの攻撃者は、被害者に対して所定の暗号通貨を指定したウォレットアドレスに支払うように要求します。その際、ダークネットを経由して支払いを求めるケースもあるということです。昨今のランサムウェアをめぐっては身代金額の高さが注目されていますが、Unit42によるとVirlockというランサムウェアは身代金額が250ドル(約2万7000円)と少額のためあまり注目されていないランサムウェアだということです。企業等を狙って莫大な身代金を要求するランサムウェアに関心が寄せられる一方で、個人や家庭のコンピューターを狙うランサムウェアも活動している実態があるといえます。
チェイナリシス「平均支払い額は54,000ドル」
一方、ブロックチェーン分析のチェイナリシスのレポート「Ramsomware2021」によると、2020年にランサムウェア攻撃によって暗号通貨で支払われた身代金は判明しているものだけで4億1600万ドル以上相当にのぼり、2021年も7月20日までにランサムウェアの攻撃者は少なくとも計2億1000万ドル相当の暗号通貨を受け取っているということです。2021年第1四半期の身代金の平均支払い額は54,000ドル相当にのぼり、これは2020年第4四半期の46,000ドル相当を上回っています。今年3月には台湾のPCメーカー、Acerに対してRevilが過去最高額となる5000万ドル相当の身代金を要求していることが報じられましたが、チェイナリシスはこの件について支払いが行われたのかどうかは不明だとしています。
■出典