新たに発見されたランサムウェアの一種が、ファイルを暗号化するだけでなく、永久に消去する機能を備えていることが判明しました。この開発は「珍しい二重の脅威」として説明されています。
「このランサムウェアには『消去モード』があり、ファイルを永久に消去するため、身代金を支払っても復元は不可能です」と、Trend Microの研究者であるMaristel Policarpio、Sarah Pearl Camiling、Sophia Nilette Roblesは、先週発表されたレポートで述べています。
問題のランサムウェア・アズ・ア・サービス(RaaS)オペレーションはAnubisと名付けられ、2024年12月に活動を開始し、オーストラリア、カナダ、ペルー、米国の医療、ホスピタリティ、建設業界に被害者を出しています。ランサムウェアの初期の試作品の分析によれば、開発者は最初にSphinxと名付け、その後最終バージョンでブランド名を変更したとされています。
このe犯罪グループは、Androidバンキングトロイの木馬や、同じ名前のPythonベースのバックドアとは無関係であり、後者は金銭目的のFIN7(別名GrayAlpha)グループに帰属しています。
「Anubisは柔軟なアフィリエイトプログラムを運営しており、交渉可能な収益分配を提供し、データ恐喝やアクセス販売といった追加の収益化パスをサポートしています」とサイバーセキュリティ会社は述べています。
アフィリエイトプログラムは80-20の分配を採用しており、アフィリエイトアクターが支払われた身代金の80%を受け取ることができます。一方、データ恐喝とアクセス収益化スキームはそれぞれ60-40と50-50の分配を提供します。
Anubisによって仕掛けられる攻撃チェーンは、フィッシングメールを初期アクセスベクターとして使用し、脅威アクターが足場を利用して権限を昇格させ、偵察を行い、ボリュームシャドウコピーを削除する手順を踏んでから、ファイルを暗号化し、必要に応じてその内容を消去します。
これは、ファイルサイズが0 KBに削減されることを意味し、ファイル名や拡張子はそのまま残るため、復元は不可能となり、被害者に支払いを強いる圧力が増します。
「ランサムウェアには/ WIPEMODEパラメータを使用した消去機能が含まれており、ファイルの内容を永久に削除し、復元の試みを防ぎます」と研究者たちは述べています。
「データを暗号化し、永久に破壊する能力は、被害者にとってのリスクを大幅に高め、強力なランサムウェアオペレーションが目指すように、従う圧力を増幅します。」
Anubisの破壊的な行動の発見は、Recorded Futureが、正当なソフトウェア製品やサービスを偽装するために使用されるFIN7グループに関連する新しいインフラストラクチャを詳述したことに伴います。これは、NetSupport RATを配信するキャンペーンの一環です。
Mastercardが所有する脅威インテリジェンス会社は、過去1年間に3つのユニークな配信ベクターを特定し、偽のブラウザ更新ページ、偽の7-Zipダウンロードサイト、TAG-124(別名404 TDS、Chaya_002、Kongtuke、LandUpdate808)を使用してマルウェアを配信していると述べています。
偽のブラウザ更新方法は、MaskBatと呼ばれるカスタムローダーをロードしてリモートアクセス型トロイの木馬を実行しますが、残りの2つの感染ベクターは、PowerNetと呼ばれる別のカスタムPowerShellローダーを使用して解凍し実行します。
「[MaskBat]はFakeBatと類似していますが、難読化されており、GrayAlphaに関連する文字列を含んでいます」とRecorded FutureのInsikt Groupは述べています。「3つの感染ベクターすべてが同時に使用されていることが観察されましたが、執筆時点でまだ活動していたのは偽の7-Zipダウンロードページだけで、2025年4月に新たに登録されたドメインが出現しています。」
翻訳元: https://thehackernews.com/2025/06/anubis-ransomware-encrypts-and-wipes.html