新たに出現したランサムウェア・アズ・ア・サービス(RaaS)ギャング「Chaos」は、BlackSuitクルーの元メンバーで構成されている可能性が高い。というのも、BlackSuitのダークウェブインフラが法執行機関による押収の対象となったためだ。
2025年2月に登場したChaosは、ランサムウェア業界における最新の参入者であり、「ビッグゲームハンティング」や二重脅迫攻撃を実施している。
「Chaos RaaSの攻撃者は、手間のかからないスパム攻撃から始め、次に音声を使ったソーシャルエンジニアリングでアクセスを獲得し、その後RMMツールを悪用して持続的な接続を確立し、正規のファイル共有ソフトウェアでデータを流出させている」とCisco Talosの研究者Anna Bennett、James Nutland、Chetan Raghuprasadは述べている。
「このランサムウェアはマルチスレッドによる高速かつ選択的な暗号化、解析回避技術を利用し、ローカルおよびネットワークリソースの両方を標的とすることで、影響を最大化しつつ検知や復旧を困難にしている。」
ここで重要なのは、このランサムウェアグループはYashmaやLucky_Gh0$tなどのChaosランサムウェアビルダーの亜種とは無関係であり、脅威アクターが同じ名前を使って混乱を招いていることを示している。被害者の大多数は、Ransomware.liveのデータによると米国に集中している。
ChaosはWindows、ESXi、Linux、NASシステムに対応しており、被害者に対して復号ツールと「主要な攻撃経路やセキュリティ推奨事項を含む詳細な侵入概要」と引き換えに30万ドルの身代金を要求していることが確認されている。
攻撃は、フィッシングとボイスフィッシングを組み合わせて、被害者を騙してリモートデスクトップソフトウェア、特にMicrosoft Quick Assistをインストールさせることで初期アクセスを獲得する手法が用いられている。
脅威アクターはその後、侵害後の調査や偵察を行い、AnyDesk、ScreenConnect、OptiTune、Syncro RMM、Splashtopなどの他のRMMツールをインストールしてネットワークへの持続的なリモートアクセスを確立する。
また、認証情報の収集、PowerShellイベントログの削除、マシンにインストールされたセキュリティツールの削除など、検知を妨害するための措置も講じられる。攻撃は、GoodSyncを使った横展開やデータ流出の後、最終的にランサムウェアの展開で締めくくられる。
ランサムウェアのバイナリはマルチスレッドに対応しており、ローカルおよびネットワークリソースの高速暗号化を可能にする一方で、復旧作業を妨害し、デバッグツールや仮想マシン環境、自動サンドボックス、その他のセキュリティプラットフォームを回避する多層的な解析回避技術を実装している。
BlackSuitとの関連性は、暗号化コマンド、身代金要求メモのテーマや構造、使用されるRMMツールなど、用いられる手法の類似性から見て取れる。なお、BlackSuitはRoyalランサムウェアグループのリブランドであり、Royal自体もContiの派生であることから、脅威の変幻自在な性質が浮き彫りになっている。
この動きは、BlackSuitのダークウェブサイトが「Operation Checkmate」と呼ばれる合同法執行作戦の一環として押収された時期と重なっている。訪問者は「このサイトは国際的な法執行機関の調査の一環として米国国土安全保障調査局により押収されました」と記載されたスプラッシュ画面で迎えられる。押収に関する当局からの公式声明はまだ出ていない。
関連する動きとして、米連邦捜査局(FBI)と司法省(DoJ)は、Chaosランサムウェアグループのメンバー「Hors」と関連する暗号通貨ウォレットアドレスから20.2891382BTC(現在の価値で240万ドル超)を押収したと公表し、発表した。
Chaosは、Backups、Bert、BlackFL、BQTLOCK、Gunra、Jackalock、Moscovium、RedFox、Sinobiなど、他の新たな亜種も登場したランサムウェア業界の最新参入者である。Gunraは悪名高いContiランサムウェアに基づいているとされ、2025年4月末以降、13件の被害を主張している。
「Gunraランサムウェアは、高度な回避および解析妨害技術を駆使してWindowsオペレーティングシステムを感染させ、検知リスクを最小限に抑えている」とCYFIRMAは述べている。「その回避能力には、悪意ある活動の難読化、ルールベースの検知システムの回避、強力な暗号化方式、身代金要求、地下フォーラムでのデータ公開警告などが含まれる。」
他の最近のランサムウェア攻撃には、DLLサイドローディングを利用してNailaoLockerをドロップしたり、ClickFixのような誘導でユーザーにCAPTCHA認証チェックを装い悪意あるHTMLアプリケーション(HTA)ファイルをダウンロードさせ、Epsilon Redランサムウェアを拡散する手口などがある。
「Epsilon Redランサムウェアは2021年に初めて確認され、感染したコンピュータにREvilランサムウェアのメモに似た身代金要求メモを残すが、文法的な改善が若干見られる」とCloudSEKは述べている。
NCC Groupによると、2025年第2四半期のランサムウェア攻撃は43%減少し、1,180件となった。これは2025年第1四半期の2,074件からの減少である。この期間で最も活発だったランサムウェアグループはQilin(151件)、次いでAkira(131件)、Play(115件)、SafePay(108件)、Lynx(46件)となっている。2025年には合計86の新規および既存の攻撃グループが活動していると推定されている。
「ランサムウェアリークサイトで公開される被害者数は減少傾向にあるが、これは脅威が減少していることを意味しない」とNCC Groupのグローバル脅威インテリジェンス責任者Matt Hullは述べている。
「法執行機関による取り締まりやランサムウェアのソースコード流出が活動減少の一因となっている可能性があるが、ランサムウェアグループはこの機会を利用してリブランドや高度なソーシャルエンジニアリング手法の活用による進化を続けている。」
翻訳元: https://thehackernews.com/2025/07/chaos-raas-emerges-after-blacksuit.html