カスペルスキーは9月10日、同社のアンチマルウェア調査チームのリサーチャーによるランサムウェア「Mallox」の調査レポート「Mallox Ransomware:In-Depth Analysis and Evolution」を発表した。その概要は以下のとおり。
レポートではMalloxの詳細な分析結果を説明するとともに、台頭してきた理由として、以前は独自で運用していた攻撃方法から本格的なRaaSへと変化したことを挙げている。これまでMalloxは主に特定の国を標的としており、日本ではまだ攻撃は確認されていないが、最近ランサムウェアによる攻撃が相次いでいることから、日本企業は引き続き警戒する必要があるとリサーチャーは述べている。
Malloxを使用した攻撃は2021年上半期に開始され、同5月に暗号化されたサンプルが見つかった。当初は標的を限定してマルウェアをカスタマイズし、人が手動で操作し攻撃を行っていた。やがてこの脅威は急速に進化し、2021年から2024年半ばまでの間に700件以上の新規サンプルを特定するまでに至った。
活動が急増した主な理由は、Malloxを使った攻撃がRaaSモデルに移行したことが挙げられる。Malloxを使用する攻撃のオペレーターは、ダークウェブ上のフォーラムを通じてアフィリエイトやパートナーを募集し、積極的に活動を拡大してきた。
2023年1月、このオペレーターは本格的なRaaSアフィリエイトプログラムを立ち上げ、影響範囲を広げるために、スキルの高い「ペンテスター」を積極的に募集。このアフィリエイトプログラムは、有利な利益分配条件を提示して多くのサイバー犯罪者を引きつけ、その結果、Mallox関連の攻撃が目に見えて増加する一因となった。また、Malloxの暗号化スキームの高度化は著しく、開発者がランサムウェアの効率向上のために継続的に技術革新に取り組んでいることが明確になった。
主な感染経路として、MS SQL ServerやPostgreSQLサーバーの脆弱性を悪用することが判明しており、このことはMalloxの適応性と幅広い業種にとって脅威となることを示している。
現時点でMalloxは、特定の地域を集中して標的にする傾向があり、ブラジル(19%)、ベトナム(13%)、中国(11%)、インド(4%)、ロシア(4%)の企業が最も頻繁に攻撃を受けている。その他、サウジアラビア、レバノン、コロンビア、トルコ、米国では攻撃の件数は少ないものの、Malloxの脅威にさらされている。
関連リンク