ランサムウェアの脅威情勢が大きく様変わりしています。LockBitなどの主要グループに対する法執行機関の摘発を経て、ベテランのオペレーターたちが再び表舞台に現れ、高度に発展したランサムウェア・アズ・ア・サービス(RaaS)の活動を開始しています。
HyflockとThe Gentlemenという2つの新興グループが最近リクルート活動を開始し、LockBitやQilinといった既存グループとの深い繋がりを主張しています。
これら新興シンジケートが参入しているのは、2026年第1四半期だけで2,122件のリークサイト被害者を記録した急成長市場です。
同期間におけるターゲット全体の71%を上位10グループが占めており、脅威のエコシステムは分散化から脱却し、中央集権的で高い能力を持つシンジケートへと急速に回帰しています。
2026年5月14日、「hyflock123」という脅威アクターがDuty-Freeフォーラムにリクルートスレッドを立ち上げました。LockBitとQilin両方での活動経験を主張するこのアクターは、Hyflock RaaSプログラムを正式に発足させました。
その翌日には、The Gentlemen RaaSの創設者として知られる「hastalamuerte」がBreachForumsで大規模なリクルート活動を展開しました。
その直後、BreachForumsがThe Gentlemenとの公式パートナーシップを発表し、イニシャルアクセスブローカーとランサムウェアの展開パイプラインを直接連結する形で、この戦略的な動きが確固たるものとなりました。
こうした新興グループを際立たせているのは、その洗練された技術力です。Hyflockは人工知能を活用した専門的なデータ分析サービスを積極的にアピールしています。
アフィリエイトがネットワークへの侵害に成功すると、AIが窃取データを解析し、被害者の財務状況・脱税記録・マーケティング予算を精査します。
これにより、オペレーターは実際の支払い能力に基づいた最大限の身代金要求額を算出できます。インシデント対応者は今後、あらゆるランサムウェアインシデントを包括的な財務データ侵害として取り扱う必要があります。
Flareの調査によると、両プログラムはいずれも高度に洗練されたマルウェアを展開します。Hyflockは、手動で最適化された暗号化ツールがAES-128-CTRとRSA-4096のハイブリッドアルゴリズムを用い、LockBit 3.0の2倍の速度で動作すると主張しています。
一方、The GentlemenはGo言語ベースのクロスプラットフォーム対応ロッカーを使用しており、Windows・Linux・NAS・BSDシステムに対応し、ファイルごとに固有の一時鍵を用いたXChaCha20暗号化を採用しています。
従来のセキュリティ検知を回避するため、このペイロードは管理者権限なしで実行可能です。さらに、ファイルのわずか1%を暗号化するだけでデータを即座に破壊し、基本的な振る舞い検知を回避する「超高速(ultrafast)」モードも備えています。
また、The Gentlemenには「サイレント(silent)」モードも搭載されており、ファイル名とデスクトップの壁紙を一切変更しないことで、基本的なファイル名変更検知を無力化します。
両オペレーターはいずれも仮想化インフラを積極的に標的とし、ESXi環境向けに専用開発されたC言語ベースの32KBロッカーなど、カスタムペイロードを展開します。
グループポリシーオブジェクト(GPO)を利用した自動拡散メカニズムと組み合わさることで、これらのシンジケートは被害者にほぼ復旧の手段を残しません。
こうした進化する脅威に対抗するため、防御側はLinuxおよびESXiホスト上での振る舞い監視を最優先事項とし、クラウドバックアップの認証情報を隔離することが急務です。
翻訳元: https://cyberpress.org/ex-lockbit-operators-launch-raas/
