- Check Pointはランサムウェアの再利用を観測
- Yureiランサムウェアがスリランカの食品製造会社を標的に
- オープンソースのランサムウェアが犯罪者の参入障壁を下げている
新たなCheck Pointの調査によると、サイバー犯罪者はオープンソースのランサムウェアモデルを利用して手口を共有しており、「スキルの低い脅威アクターでもランサムウェア攻撃を開始できるようになっている」と明らかになりました。
スリランカの食品製造会社を標的とした特定のサイバー攻撃を観察することで、研究者たちは新たなランサムウェアグループ「Yurei」が、Prince-Ransomware系統の既存ツールにごくわずかな変更を加えただけであることを特定しました。
この攻撃は「ダブルランサムウェア」モデルであり、被害者のファイルが暗号化され、機密データが抜き取られた後、情報の復号と、データをダークウェブサイトに公開したり最高額入札者に販売したりしないことの両方に対して身代金が要求されます。
Yureiランサムウェア
日本の幽霊話にちなんで名付けられたYureiランサムウェアグループは、既存のオープンソースランサムウェアプロジェクトを利用しています。オープンソースプロジェクトは、スキルの低い脅威アクターでも容易にランサムウェア分野に参入できるようにします。
しかし、Prince-Ransomwareのコードベースを再利用したことで、Yureiは「ボリュームシャドウコピーの削除に失敗している」など、同じ欠陥も引き継いでおり、「VSSが有効な環境では部分的な復旧が可能になる」と研究では指摘しています。
「オープンソースのマルウェアは脅威ですが、防御側にとってもこれらのバリエーションを検知し緩和する機会を与えます。しかし、Yureiは複数の被害者に対して作戦を成功させており、労力の少ない作戦でも成功につながる可能性があることを示しています」と本調査は結論づけています。
スキルと労力の両面で参入障壁が下がっており、AIの利用が急増していることでこの傾向はさらに強まっています。ランサムウェアのうちAIによって動作していないものはわずか20%であり、CAPTCHAの突破やパスワード解読、コード生成、さらには高度なソーシャルエンジニアリング攻撃の構築にもAIが利用されています。
