ランサムウェア集団、競合他社の摘発を利用して勢力拡大

要点:

• いくつかの主要なランサムウェア・アズ・ア・サービス（RaaS）グループが、人気のリークサイトへの被害者の投稿を停止しており、エコシステムが以前よりも分散化していることを示唆していると、Check Point Software Technologiesの新しいレポートが述べています。
• 同時に、以前は大手グループと提携していた多くの小規模グループが「独立して活動するか、新たなパートナーシップを模索している」と、Check Pointは木曜日のレポートで述べています。
• 「既存の大手グループは、こうした“孤児”となった提携者の獲得競争を積極的に展開している」とレポートは述べており、現在は消滅したRansomHubの提携者を巡るQilinとDragonForceの競争が引用されています。

洞察:

Check Pointのレポートは、法執行機関による捜査や逮捕、インフラの摘発によって先行グループが崩壊するや否や、新たなランサムウェアグループが台頭してくる様子を描いており、サイバー犯罪エコシステムの「モグラ叩き」的な性質を浮き彫りにしています。

例えば2025年5月に世界的な法執行機関の活動によってLockBitが壊滅的打撃を受けた時には、RansomHubというRaaS事業者がすでにLockBitに取って代わる形で拡大していました（LockBitは約1年前から衰退傾向にありました）。しかし2025年4月、LockBitの最終的な崩壊よりも前に、RansomHub自体も活動を停止しました。「その消滅の正確な事情は不明ですが、ランサムウェアエコシステムへの影響は即座に現れました」とCheck Pointの研究者は記しています。

RansomHubの提携者は、グループの活動停止前の6か月間で毎月平均75件の新たな被害者を投稿していましたが、新たなパートナーを必要としていました。多くはQilinに流れたようで、Check PointによるとQilinの活動は2025年第2四半期にほぼ倍増し、月平均35件からほぼ70件に増加しています。

Qilinは2022年から活動しており、RansomHub消滅後の動きからもその持続力がうかがえます。Qilinは競合他社の不運を利用するタイミングを熟知しているのです。RansomHubがオフラインになった後、Qilinは攻撃ツールキットの「強化された機能」を宣伝し始めたとCheck Pointは述べており、「新たな統合DDoS機能や[被害者との]交渉コンサルティング」などが含まれていました。

もう一つの主要なRaaSグループであるDragonForceも、RansomHubの消滅を利用しようとし、同グループがDragonForceのプラットフォームに移行したと主張しました。Check Pointのデータによると、4月と6月にDragonForceの被害報告が「顕著に増加」していますが、これが持続的な傾向なのか一時的なものなのかは不明だと同社は述べています。

脅威アクターの状況が変化しているにもかかわらず、ランサムウェアエコシステムのいくつかの側面は変わっていないとCheck Pointのレポートは指摘しています。報告された被害者の約半数は米国が占めており、英国、ドイツ、カナダがそれぞれ5%を占めています。しかし、一部のグループは「明確な地理的嗜好」を示しており、Safepayはドイツに、Akiraはイタリアに特に重点を置いているとCheck Pointは述べています。