ランサムウェア・アズ・ア・サービス(RaaS)モデル、二重恐喝戦術、およびAIの採用増加は、進化するランサムウェア脅威の状況を特徴づけています。
LockBitなどのグループに対する法執行機関による取り締まりは、ランサムウェア市場をより細分化させるのに貢献しており、新興プレイヤーがこの取引に参入しようとしています。
攻撃者は国家支援の攻撃者からRaaS事業、単独オペレーター、データ窃盗恐喝グループまで多岐にわたります。近年、金銭目的のランサムウェアグループは、以前は高度なスパイ活動に限定されていた隠蔽、回避、およびリビング・オフ・ザ・ランド技術を採用しています。
ランサムウェアは脅威アクターにとって引き続き利益の機会であり、昨年は7,000以上の被害者が公開されました。これは、支払いを行い、脅威アクターがデータを公開しなかった被害者を除いた膨大な数字です。GuidePoint Securityによると、Akiraだけで2025年に約4,500万ドルの不正な支払いを獲得しました。
以下は、その影響または革新的な特徴に基づいて選別された、現在活動している主な脅威グループの網羅的ではないリストです。
Akira
歴史: Akiraは、2023年初頭に出現した高度なRaaS事業であり、現在も活動しています。
仕組み: Akiraを配備するグループは、企業VPNアプライアンスの認証不足、オープンなRDP(リモートデスクトッププロトコル)クライアント、および侵害された認証情報を悪用して企業システムを攻撃することが多いです。
対象となる被害者: 主要な対象は、北米、ヨーロッパ、オーストラリア全域の中小企業です。Palo Alto Networks’ Unit 42インテリジェンスユニットによると、影響を受けた産業には製造業、専門および法律サービス、教育、通信、技術、および医薬品が含まれます。
帰属: 状況証拠はロシア起源を示唆し、廃止されたContiランサムウェアとのリンクがありますが、帰属は依然として不明です。バグバウンティプラットフォームHackerOneのEMEA担当スタッフソリューションアーキテクトであるShobhit Gautamは、「[脅威]アクターは、DLS(データリークサイト)とメッセージングに適用された『レトロ美学』のため注目を集めた」と述べています。
Black Basta
歴史: Black Bastaは2022年初頭にランサムウェアシーンに登場し、主要組織への攻撃で悪名高いContiのスピンオフと考えられています。
仕組み: Black Bastaは通常、既知の脆弱性とソーシャルエンジニアリングキャンペーンの悪用を通じてマルウェアを展開しています。Rapid7の脅威分析シニアディレクターであるChristiaan Beekによると、「対象環境の従業員はメール爆撃を受け、その後、組織のヘルプデスクになりすましたグループに連絡されます。」
対象となる被害者: クラウドセキュリティ企業Qualysによる分析によると、世界中の500以上の組織がBlack Bastaの影響を受けています。
帰属: セキュリティ研究者は、マルウェアサンプルのエンドポイント検出および対応システムを回避するためのカスタムモジュールの類似性により、Black BastaはFIN7サイバー犯罪グループと関連がある可能性があると推測しています。
Blackcat (ALPHV)
歴史: BlackCat(別名ALPHV またはNoberus)は、2021年11月に出現しました。コロニアルパイプラインを悪名高く標的にした現在廃止されたDarksideグループの元メンバーで構成されていると言われています。
仕組み: BlackCatで使用されるマルウェアは、WindowsおよびLinuxシステムを標的としています。BlackCatは、ファイル復号化の身代金要求、盗まれたデータを開示しないという誓い、および分散型サービス拒否(DDoS)攻撃の防止を含む、三重恐喝戦略の使用で知られています。
仕組み: ReliaQuestによると、同グループは独自のカスタムマルウェアを開発することで際立っており、これは「Play」や「Qilin」などのトップティアグループの特徴です。そのマルウェアは、Windows、VMware ESXi(仮想化サーバー)、およびLinux環境を標的としています。攻撃者は通常、データを暗号化しながら機密情報を流出させ、法外な要求が満たされない場合は機密情報を公開すると脅します。
対象となる被害者: BlackLockは、米国ベースの不動産、製造、およびヘルスケア組織を含む、多様な被害者を標的にしています。
帰属: BlackLockはランサムウェアに焦点を当てたロシア語プラットフォームであるRAMPフォーラムで非常にアクティブであり、初期アクセスブローカーを含むさまざまな役割を積極的に募集しており、彼らはアフィリエイトに部分的に侵害されたネットワークへのアクセスを売却しています。BlackLockランサムウェアグループの構成に関する確定的な帰属はありません。
Cl0p
歴史: Cl0pランサムウェアは、2019年にさかのぼる複雑な歴史を持っています。過去6年間の広範な悪用は、主にロシア語を話すサイバー犯罪グループ、特にTA505とFIN11に関連しています。
仕組み: Cl0pはゼロデイ脆弱性を悪用して獲物を標的にしています。Cl0pグループは従来のペイロードの使用を回避する傾向がありますが、引き続きリークサイトに依存して被害者から支払いを恐喝しています。Rapid7のBeekによると、「グループは、Cleoファイル転送ソフトウェアの脆弱性を悪用するなど、ダウンタイムを最小限に抑えながら高プロフィールなプラットフォーム脆弱性を使用してデータを流出させるのを見ました。」
対象となる被害者: Cl0pは世界中の主要組織を標的にしています。最も悪名高いことに、Cl0pはMOVEit脆弱性を悪用した大規模なキャンペーンを実施し、2023年に数千の組織に影響を与えました。
帰属: Cl0pランサムウェアは、複数の(主にロシア語を話す)サイバー犯罪グループに帰属しています。
DragonForce
歴史: 最初はハクティビズムに関連していたDragonForceは、2023年後半以降、ダークウェブフォーラムなどを通じてアフィリエイトを積極的に募集するランサムウェア・アズ・ア・サービス事業として知られるようになりました。
仕組み: DragonForceはLockBitおよびContiコードを再利用していますが、修正されたペイロードで利用しています。昨年、LockBitとQilinと協力して、攻撃を調整し、リソースを共有する「ランサムウェアカルテル」を形成しました。
対象となる被害者: DragonForceとそのアフィリエイトは、小売およびロジスティクスを含むさまざまなセクターで120以上の被害者を主張しています。
帰属: グループは最初、マレーシアの親パレスチナハクティビスト集団のメンバーで構成されていると考えられていましたが、ロシア語を話すサイバー犯罪フォーラムへの投稿の履歴とロシアのサイバー犯罪ツールの使用により、この理論が有効かどうかについて疑問が生じています。
Funksec
歴史: FunkSecは、2024年後半に出現した新しいRaaSグループであり、12月だけで85以上の被害者を主張しています。
仕組み: FunkSecはマルウェア開発にAIを使用し、低い身代金を要求し、Rapid7のBeekによると、「データ漏洩に関する信頼性が疑わしい」としています。
対象となる被害者: FunkSecは多くの被害者を主張していますが、研究者は一部の漏洩が以前の侵害から再利用またはリサイクルされている可能性があることを警告しています。
帰属: FunkSecはRaaSモデルとして動作し、ロシア語を話すアフィリエイトを持つ可能性があります。
The Gentlemen
歴史: この高度なグループは、2025年半ばにランサムウェア・アズ・ア・サービスプラットフォームとともにランサムウェアシーンに登場し、製造、建設、ヘルスケア、および保険にまたがる攻撃を展開しました。
仕組み: グループはファイルを暗号化する前にデータを流出させ、支払われない限り盗まれた情報を流出させると脅します。The Gentlemenは、同じ名前のGuy Richie映画を模したポリッシュされたブランディングを備えており、防御回避のための正当なドライバーを悪用し、ドメイン全体の侵害を促進するためにグループポリシーオブジェクトを悪用し、エンドポイントセキュリティを無効にするために設計されたカスタム悪意のあるツールを展開します。
対象となる被害者: The Gentlemenは、17カ国全域で推定30の被害者に襲いかかり、製造業と建設業が主要な標的であり、その後にヘルスケア、保険などが続きました。
帰属: The Gentlemenランサムウェアグループの背後にあるサイバー犯罪者は、特定されていません。
LockBit
歴史: LockBitは、開拓に器械的な役割を果たしたランサムウェア・アズ・ア・サービスモデルを通じて運営されるサイバー犯罪グループです。2024年に混乱させられたにもかかわらず、LockBitは復活の兆しを示しています。マルウェア事業は、効率的な暗号化と二重恐喝戦術で悪名高いままです。
仕組み: LockBitは、2024年に法執行機関による大規模な取り締まり作戦にもかかわらず、ますます強力なRaaSモデルと「ロック・アンド・リーク」としても知られる二重恐喝を継続的に使用しています。Searchlight Cyberの脅威インテリジェンス責任者であるLuke Donovanは、CSOに対して「LockBitは引き続き被害者をリストアップし、アフィリエイトを募集し、ダークウェブフォーラムで評判を取り戻そうとしている」と述べています。
LockBitは、2025年9月に最新バージョンのランサムウェアであるLockBit5で復活しました。
対象となる被害者: LockBitはその全盛期に世界中の数千の被害者を標的にしました。政府サービス、民間企業、および重要なインフラストラクチャプロバイダーを含みます。
帰属: LockBitのロシア語フォーラムの使用と標的化パターンは、一部のアナリストにグループがロシアを拠点としていると信じさせています。ロシア国民Dmitry Yuryevich Khoroshev、西洋法執行機関によって名付けられた 昨年 LockBitの開発者および管理者として、資産凍結および旅行禁止と並行して米国の起訴に直面しています。2人のロシア国民は、標的化された組織に対してLockBitランサムウェアを展開したことで起訴されました。
Lynx
歴史: Lynxは、以前のINCランサムウェアとソースコードの48%を共有しており、同じ脅威アクターの説得力のあるリブランディングまたは進化を示唆しています。
仕組み: Lynxはまた、RaaSを運営し、二重恐喝戦術を採用しています。システムに浸透した後、ランサムウェアは機密情報を盗み、被害者のデータを暗号化し、事実上彼らをロックアウトすることができます。回復をより困難にするために、暗号化されたファイルに「.lynx」拡張子を追加し、シャドウコピーなどのバックアップファイルを削除します。
対象となる被害者: 出現以来、ランサムウェアは、小売、不動産、建築、金融サービス、環境サービスを含む複数の米国およびUK業界を積極的に標的にしています。Palo AltoのUnit 42脅威インテリジェンスグループによると、Lynxの背後にあるグループは、2024年7月から2024年11月にかけて、エネルギー、石油、ガスに関連する被害者を含む、米国全域の複数の施設を攻撃しました。Rapid7のBeekは、「Lynxが2024年7月にリリースした声明によると、被害者を選択することに関して『倫理的』であると主張しています」と付け加えています。
帰属: Lynxはラースモデルとして動作し、単一のエンティティではなく複数のサイバー犯罪者によって使用される可能性があることを意味します。
Medusa
歴史: Medusaは、2022年にデビューしたランサムウェア・アズ・ア・サービス事業です。
仕組み: グループは通常、公開されている資産の脆弱性を悪用するか、フィッシングメール、または初期アクセスブローカーを使用することによってシステムにハッキングします。
対象となる被害者: Medusaの背後にあるサイバー犯罪者は、米国、ヨーロッパ、インドのヘルスケア、教育、製造、および小売組織を標的にしています。
帰属: Medusaに関連するロシア語を話すサイバー犯罪フォーラムでのアクティビティは、コアグループとその多くのアフィリエイトがロシアまたは隣国からの可能性があることを示唆していますが、これは未確認のままです。
Play
歴史: Playは、2022年6月に出現したランサムウェア脅威です。グループは他の主要な脅威アクターの混乱に続いてその活動を強化しました。
仕組み: 攻撃者は通常、機密情報を流出させた後にシステムを暗号化します。Playはリークサイトを除いてダークウェブ上で非常に低いプロフィールを保ち、ダークウェブフォーラムで自分自身をアドバタイズしていません。Searchlight CyberのDonovanは、「RaaSギャングではないと主張しており、反対の証拠があるにもかかわらず、『取引の秘密を保証するために『閉鎖されたグループを維持している』と述べている」と説明しています。
対象となる被害者: グループは、ヘルスケア、通信、金融、および政府サービスを含むさまざまなセクターを標的にしています。
帰属: Playは北朝鮮の国家と一致したAPTグループとの関係を持つ可能性があります。
2024年10月、Palo Alto Networks’ Unit 42はPlay ransomwareの北朝鮮を支援する脅威アクターによる展開の証拠を公開した、具体的にはAPT45。Donovanは、「この脅威アクターとPlayの間のリンクは不明であるが、国家が後援するサイバー活動と見かけ上独立したサイバー犯罪ネットワーク間のクロスオーバーの可能性を示している」と述べています。
Qilin
歴史: Qilin(Agendaとしても知られている)は、2022年5月から運営されているロシアを拠点とするRaaSグループです。
仕組み: グループは、GolangおよびRustで書かれたランサムウェアバリアントを使用して、VMware ESXiサーバーを含むWindowsおよびLinuxシステムを標的にしています。Qilinは二重恐喝モデルに従っています。被害者のファイルを暗号化し、身代金が支払われない場合は盗まれたデータを流出させると脅します。
対象となる被害者: Qilinは地下フォーラムでアフィリエイトを募集し、現在のロシアに隣接する独立国家共同体(CIS)加盟国の組織への攻撃を禁止しています。
Searchlight Cyberの調査によると、Qilinは2025年後半に697人の被害者から略奪されたデータを投稿し、5倍の前年比増加でした。セキュリティ研究者は、急増を積極的な採用取り組みと初期アクセスブローカーとのつながりに帰し、盗まれたVPN認証情報を取得します。
帰属: Qilinの構成は不明のままですが、ロシア語を話す組織化されたサイバー犯罪事業が強く疑われています。
RansomHub
歴史: RansomHubは2024年2月に出現し、すぐに主要なサイバー脅威となりました。最初はCyclopsとして知られ、その後Knightとして知られるグループは、リブランディングし、LockBitおよびALPHV/BlackCatなどの他の破壊されたランサムウェアグループからアフィリエイトを募集することによって事業を拡大しました。
仕組み: ネットワーク内に入ると、RansomHubアフィリエイトはデータを流出させ、暗号化ツールを展開し、その悪意のある活動を容易にするために合法的な管理ユーティリティを利用することがあります。RansomHubは「アフィリエイトフレンドリー」RaaSモデルを運営し、最初はランサムウェアを使用した攻撃を行う者に固定10%の手数料を提供し、コアグループに支払う前に被害者から直接身代金を回収するオプションを提供します。Searchlight CyberのDonovanは、「これらの要素は、過去に支払うことが信頼できない他のRaaS運営がある場合に保証された収益を探しているアフィリエイトにとって魅力的なオプションです」と述べています。
対象となる被害者: Rapid7によると、RansomHubは、ヨーロッパと北米のヘルスケア、金融、政府サービス、および重要なインフラストラクチャを含むさまざまな重要セクターで210以上の被害者にリンクされています。
帰属: 帰属は未確認のままですが、状況証拠は、他の確立されたランサムウェア脅威アクターとのつながりを持つ組織化されたロシア語を話すサイバー犯罪事業を指しています。
Scattered Lapsus$ Hunters
歴史: 以前は別のサイバー犯罪グループであったScattered Spider、LAPSUS$、およびShinyHuntersは、2025年8月に大企業に対するランサムウェア攻撃を実行するための緩い同盟を形成しました。最初はALPHV/BlackCatなどのアフィリエイトでしたが、グループは離れ、独自のプラットフォームと方法論を開発しました。
仕組み: Scattered Lapsus$ Huntersは、他の戦術の中でも、ソーシャルエンジニアリングを使用してヘルプデスクを侵害する専門知識で知られています。Consolidated Threat Groupは、データ漏洩による財政的恐喝をランサムウェアと組み合わせています。彼らのリークサイトは2025年10月に法執行機関に押収されましたが、これはサイバー犯罪スーパーグループについて最後に聞くことはないかもしれません。
対象となる被害者: 集団は、8月と10月に主要なSalesforceキャンペーンを実行し、トヨタ、FedEx、Disneyを含む数十社のデータを公開しました。
帰属: セキュリティ研究者は、Scattered Lapsus$ Huntersを単一の結束したグループではなく、緩い同盟として特徴づけています。グループの疑わしいメンバーは、2026年2月下旬の時点で公開されていません。
