CSO Online Deutschland 編集マネージャー
ニュース分析
2026年1月7日3分
ランサムウェアサービス「Ransomhouse」が危険な形で進化した。とりわけドイツ企業が攻撃の焦点となっている。
Suttipun – shutterstock.com
セキュリティ専門家は最近、ランサムウェアグループ「Jolly Scorpius」が、同グループのRaaS(Ransomware as a Service)サービス「Ransomhouse」を大幅に改良したことを確認した。Palo Alto Networks の脅威インテリジェンスチームによれば、同グループは現在、高度なデュアル暗号化システムを使用しているという。
攻撃は、「Mario」というコードネームの暗号化トロイの木馬の更新版に基づいている。このトロイの木馬は、1つではなく2つの別個の鍵を使用する。主鍵は32バイトで、副鍵は8バイトだ。これにより、データを復元することはほぼ不可能になる。
また、「MrAgent」と呼ばれる専用ツールが用いられ、 VMware ESXi ハイパーバイザーへの攻撃を自動化する。「MrAgentによって攻撃者は能力を大幅に拡張した」と、Palo Alto NetworksのCISOであるアンディ・シュナイダー氏はCSOに説明する。「これにより、ファイアウォールを無力化し、ハイパーバイザーのクラスター全体を大規模に暗号化できるため、数分で最大級の障害を引き起こす。」
主な標的はドイツ
さらに、二重恐喝の戦術も継続している。システムの暗号化に加え、機密データも盗み出される。Palo Alto Networksによると、この新たなキャンペーンでサイバー犯罪者が主に狙っているのは、VMwareインフラを持つドイツ企業だという。
シュナイダー氏は、ドイツはその独特なインフラ環境のため、現在魅力的な標的になっていると見ている。「パブリッククラウド戦略をより広範に採用している市場とは異なり、多くのドイツ企業—特に製造業やテクノロジー分野—は、依然として自社データセンターに強く依存している」と同氏は説明する。「そしてそれらはVMwareが支配している。」
同専門家は、この傾向は製造、航空宇宙、そして 生産 分野のドイツ企業に対する最近の攻撃ですでに示されていると指摘する。「ESXiインフラがこれほど集中していることで、ドイツの産業はRansomhousにとって収益性が高く、効率的な標的となっている。」
こうした攻撃から身を守るため、一部のセキュリティ専門家は企業に対し、防御戦略の見直しを推奨している。例えば、仮想化環境の強化、改ざん不可能なバックアップ、厳格なネットワークセグメンテーションなどが挙げられる。
一般的なランサムウェア集団ではない
Jolly Scorpiusは、その振る舞いにおいて一般的なランサムウェア集団とは異なる。Palo Alto NetworksのCISOが強調するように、彼らはしばしば純粋なサイバー犯罪者ではなく「セキュリティ監査人」を装う。「ずさんなセキュリティ運用によって生じた脆弱性を暴いていると主張しながら、容赦ない二重恐喝攻撃を実行している。」
シュナイダー氏によれば、このグループはプロフェッショナルな外観にもかかわらず、ロシア語圏の出自(特に「Babuk」コードファミリー)と関連付けられるという。「標的の選定は、しばしば一般的な地政学的緊張と一致する。ドイツのようなNATO諸国の重要なサプライチェーンやインフラに焦点を当てることで、彼らは母地域における寛容な環境の恩恵を受けている。」
Julia MutzbauerはCSO Online Deutschlandの編集マネージャー。サイバーセキュリティ分野を専門としている。
この著者の他の記事
さらに表示
