政府は深刻化するランサムウェアへの対策に企業が経営レベルで取り組むことを求めていますが、そのランサムウェア攻撃は今年になってからも新たな種類が登場するなど活発な展開を見せています。昨年末から今年にかけて登場したランサムウェアをまとめてみました。
FIN8と関連?White Rabbit
White Rabbitランサムウェアが最初に言及されたのは、ランサムウェアの専門家、Michael Gillespie氏が昨年12月14日におこなったツイートだと言われています。White RabbitはFIN8と呼ばれるAPT(Advanced Persistent Threat)グループに結び付いていると言われています。FIN8は2016年より活動が確認されているグループで、POSシステムからカードデータをスキミングするなどのサイバー犯罪を手がけ、最近ではアメリカの地方銀行が狙われたケースがあります。
トレンドマイクロによると、White Rabbitランサムウェアの特徴は、ペイロードのバイナリが自身の動作を展開するために特定のコマンドラインパスワードを要求することだということです。これはEgregorランサムウェアが手口の検出を回避するために用いた仕組みと同じだということです。ランサムウェア攻撃としては二重恐喝を行い、窃取したデータを公開あるいは販売すると言って脅迫します。トレンドマイクロは、White RabbitがFIN8の新たな攻撃ツールなのか、現状では判断できないとしています。
日本企業も被害 Log4jの脆弱性狙うNight Sky
Night Skyランサムウェアは、今年、MalwareHunterTeamがツイッターで明らかにしたランサムウェアで、昨年12月より活動が行われているようです。マイクロソフトによると、Night Skyランサムウェアは、VMware社のVDI(Virtual Desktop Infrastructure)ソリューションであるHorizonのLog4jの脆弱性を悪用してインストールされるということです。海外メディアによるとNight Skyランサムウェアの攻撃は昨年12月27日に確認され、ターゲットから窃取したデータを公開するリークサイトにはバングラデシュと日本での被害を示す投稿が行われたということです。
マイクロソフトによると、Night Skyランサムウェアの運営者は、同社がDEV-0401として追跡している中国を拠点とするランサムウェアグループで、過去にLockFile、AtomSilo、Rookなどの複数のランサムウェアファミリを展開し、Exchangeサーバーの脆弱性であるCVE-2021-34473を悪用した攻撃などを行っているということです。
RaaSで急拡大中のBlackCat
パロアルトネットワークスによると、BlackCatランサムウェアは昨年11月に登場し、急速に被害が拡大しているランサムウェアです。BlackCatランサムウェアのリークサイトに投稿されている被害者の所在地の42%近くはアメリカで、他はドイツ、フランス、オランダ、スペインと欧米がほとんどを占めていますが、アジアではフィリピンが被害を受けているようです。BlackCatランサムウェアはランサムウェア・アズ・ア・サービス(RaaS)のビジネスモデルで運営されていて、サイバー犯罪のためのフォーラムでランサムウェアを展開するアフィリエイト参加者を募り、身代金の80~90%は攻撃を実行したアフィリエイターが受け取り、残りがBlackCatの作者に支払われるということです。
パロアルトネットワークスによると、同社の脅威分析チームであるUnit 42が追跡しているランサムウェアグループの中で、リークサイトに掲載されている被害者数が昨年12月時点でBlackCatは 7番目に多く、短期間に多くの攻撃を行っている状況が伺えるようです。また、BlackCatによるランサムウェア攻撃では従来の二重脅迫に加え、身代金の支払いをしなければ被害者のネットワークにDDoS攻撃を行うと脅すということです。
QNAPのNASデバイスを攻撃するDeadBolt
DeadBoltは、今年明らかになった台湾・QNAP社のネットワークHDD製品であるNASを暗号化してビットコインを要求するランサムウェアです。QNAPは今年1月26日にDeadBoltに関する注意喚起を行いました。QNAP社製品に対しては Qlocker など他のランサムウェアによる攻撃も行われているようです。
■出典・参考
https://blog.trendmicro.co.jp/archives/30313