2019年から活動しているクリプトマイニングボットネットが、おそらくAIによって生成されたランサムウェアを運用に追加しました。
FortiGuard Labsの一部であるFortiCNAPPチームによる新たな分析で、H2minerとLcryxランサムウェアの重複が初めて確認されました。
このリンクは、Monero(暗号通貨の一種)のマイニングに使用されている仮想プライベートサーバー(VPS)のクラスターを調査する中で明らかになりました。
調査により、2020年に記録された過去のH2minerキャンペーンに関連するサンプルが発見されましたが、それらは新しい設定で更新されていました。
FortiCNAPPチームはまた、「Lcrypt0rx」と名付けられたLcryxランサムウェアの新しい亜種も特定しました。Lcryxは、2024年11月に初めて観測されたVBScriptベースのランサムウェアです。
Lcrypt0rxは、より高度なランサムウェアファミリーほどの洗練さは持ち合わせていないと評価されました。しかし、システムの使い勝手を低下させる独自の手法や、UIへの干渉、冗長な埋め込みスクリプトを導入しています。
また、市販されているハッキングツールや情報窃取ツールも同梱しており、単純な暗号化以上の機能を持っています。
FortiCNAPPは、このランサムウェアファミリーがAIによって生成された可能性を示唆するいくつかの異常な特徴を示していると述べています。
AI生成のLcryxランサムウェアには複数の欠陥が存在
FortiCNAPPチームは、近年脅威アクターによる大規模言語モデル(LLM)の採用が増加していることを観察しています。
しかし、このようなランサムウェア開発手法は、スクリプト内に重大な欠陥や非論理的な挙動をもたらしています。これらの兆候から、LcryxランサムウェアファミリーがAIによって生成されたとチームは疑っています。
例えば、明確な理由もなく複数の関数がスクリプト内で繰り返されており、最適化されていない自動コード生成を示唆しています。
また、暗号化ロジックの欠陥や冗長なオブジェクト生成、不正な構文もランサムウェア内で確認されています。
さらに、スクリプトは暗号化されたファイルをNotepadで開こうとするなど、実用性もなく運用上も意味のない非論理的な動作を行います。
身代金要求メモのURLにも誤りがあります。身代金要求メモ内の.onionアドレス(http://lcryptordecrypt7xfzq5tclm9jzpwq72uofgy2znkdsxm54zbcu2yid[.]onion)は、有効なTORアドレスの仕様に準拠していません。v2からv3のonionサービスへの移行中のプレースホルダーだった可能性があります。
また、ウイルス対策ソフトの無効化機能も効果的ではなく、BitdefenderやKasperskyのウイルス対策製品を無効化する手法が誤っており、LLMの幻覚(ハルシネーション)である可能性が高いです。
マルウェア開発におけるLLMの利用についてさらに読む:サイバー犯罪者がDeepSeekやAlibabaのLLMをマルウェア開発に注目
H2minerとLcryxの関係を検証
H2minerとLcryxの運用上の重複は、運営者同士が金銭的利益を最大化するために協力している可能性を示しています。
しかし、協力に至った他の可能性も考えられます。
まず、H2minerの運営者が利益を増やすためにLcrypt0rxも開発した可能性があります。
あるいは、H2minerの運営者がLcrypt0rxを再利用してマイニング活動を行い、責任転嫁を図っている可能性もあります。
FortiCNAPPチームは次のように結論付けています。「このキャンペーンはより広範な傾向を反映しています。すなわち、サイバー犯罪のコモディティ化です。事前に構築されたツール、LLM生成コード、安価なインフラへのアクセスによって参入障壁が下がり、スキルの低いアクターでも高い影響力を持つキャンペーンを展開できるようになっています。」
翻訳元: https://www.infosecurity-magazine.com/news/lcryx-ransomware-discovered-crypto/