チェック・ポイント・ソフトウェア・テクノロジーズは7月19日、同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)が2024年6月の最新版Global Threat Index(世界脅威インデックス)を公開したことを発表した。その概要は以下のとおり。
6月のインデックスでは、CPRのリサーチャーがRaaSの状況の変化を報告。公開されているリークサイト(Shame sites)によると、比較的新しいランサムウェアグループである「RansomHub」が「Lockbit3」を追い抜き、最も活発なランサムウェアグループとなっている。
一方、「BadSpace」と名付けられたWindowsのバックドアマルウェアが新たに確認され、感染したWordPressのウェブサイトや虚偽のブラウザアップデートなどが拡散に関係していることが分かった。
■最も活発なランサムウェアグループ
6月に最も活発だったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち21%に関与していた。2位はPlayで全体の8%を占め、3位のAkiraは5%を占めている。
1.RansomHub
かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、さまざまなシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げた。このマルウェアは、高度な暗号化手法を用いることで知られている。
2.Play
Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループ。北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしている。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセス。内部に侵入すると、LOLBin(環境寄生バイナリ)の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行する。
3.Akira
2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としている。ファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似している。Akiraは感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、さまざまな手段を通じて配布される。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示される。
関連リンク