セキュリティ

SECURITY

公開：2024-07-20

RansomHubが最も活発なランサムウェアグループに、LockBit3の衰退を受けてサイバー攻撃の脅威が変化

text: XEXEQ編集部

記事の要約

• RansomHubが最も活発なランサムウェアグループに
• LockBit3の衰退により、RansomHubが台頭
• FakeUpdatesによる新たな攻撃キャンペーンが発生
• BadSpaceバックドアマルウェアが新たに確認される

RansomHubが最も活発なランサムウェアグループに

チェック・ポイント・リサーチは2024年6月の最新版Global Threat Indexを発表し、ランサムウェア界隈での勢力図の変化を明らかにした。LockBit3に対する2月の法執行措置の影響により、RansomHubが最も活発なランサムウェアグループとして台頭したのである。^[1]

RansomHubは2024年に初めて姿を現したグループで、Knightランサムウェアの後継とされている。6月には80組織近くの新たな被害者を出し、その攻撃対象はアメリカ以外の国々に広がっているのが特徴だ。

FakeUpdatesによる新たな攻撃キャンペーン

チェック・ポイント・リサーチの調査により、FakeUpdates（別名SocGholi）による新たな攻撃キャンペーンが明らかになった。このキャンペーンでは、BadSpaceと呼ばれるバックドアマルウェアが配信されており、ユーザーに偽装されたブラウザアップデートのダウンロードを促す手法が取られている。

FakeUpdatesの拡散を促進しているのは第三者のアフィリエイトネットワークであり、危険なウェブサイトからのトラフィックをFakeUpdatesのランディングページへリダイレクトしている。このような巧妙な手口により、ユーザーは気付かぬうちにマルウェアに感染してしまうのだ。

• FakeUpdatesは偽のブラウザアップデートを装う
• BadSpaceバックドアマルウェアを配信
• 第三者のアフィリエイトネットワークが拡散を促進
• 高度な難読化技術とアンチサンドボックス技術を採用
• コマンド＆コントロール通信は暗号化され傍受困難

バックドアマルウェアとは

バックドアマルウェアとは、攻撃者が感染したシステムに不正アクセスするために使用される悪意のあるソフトウェアのことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のセキュリティ機構をバイパスして侵入
• 遠隔からシステムを制御可能
• データの窃取や改ざんが可能
• 検出が困難な潜伏型の動作
• 他のマルウェアの侵入口として機能

バックドアマルウェアは、システムの脆弱性を悪用して侵入し、攻撃者に継続的なアクセス権を与える。一度感染すると、攻撃者はシステムの完全な制御権を得て、機密情報の窃取やさらなる攻撃の足場として利用することが可能になる。

国内で活発化するモジュール型トロイの木馬BMANAGER

チェック・ポイント・リサーチの調査によると、日本国内ではモジュール型トロイの木馬であるBMANAGERが初めてランキングの上位となり、国内企業の1.63%に影響を与えている。BMANAGERは、Boolkaとして知られる脅威行為者に起因するマルウェアであり、少なくとも2022年以降、その攻撃手法を進化させてきた。

BMANAGERは、ステルス的なデータ流出とキーロギングを目的として設計された様々なコンポーネントを含むスイートの一部である。主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出す仕組みになっている。

ランサムウェアの進化に関する考察

ランサムウェアグループの勢力図の変化は、サイバーセキュリティ対策の進化と攻撃者の適応能力の高さを如実に示している。LockBit3の衰退とRansomHubの台頭は、法執行機関の取り締まりが効果を上げる一方で、新たな脅威が常に出現する可能性を示唆している。この状況下では、組織はより柔軟で包括的なセキュリティ戦略を採用する必要があるだろう。

今後、ランサムウェアグループはより高度な暗号化技術や回避手法を開発し、検出を困難にする可能性が高い。また、クラウドインフラストラクチャやIoTデバイスなど、新たな攻撃ベクトルを狙う傾向が強まると予想される。セキュリティコミュニティは、AIや機械学習を活用した予防的な防御メカニズムの開発に注力すべきだ。

ランサムウェア攻撃の影響を受ける業界は、今後さらに多様化すると考えられる。特に、重要インフラや医療機関、教育機関などが狙われる可能性が高く、これらのセクターでのセキュリティ強化が急務となるだろう。政府や企業は、セキュリティ意識向上プログラムやインシデント対応訓練の拡充に投資する必要がある。

バックドアマルウェアの進化も看過できない問題だ。BadSpaceのような高度な難読化技術を持つマルウェアの出現は、従来の検出手法の限界を示している。セキュリティベンダーは、振る舞い分析や動的解析技術の強化に努め、これらの新種マルウェアに対抗する必要がある。

最後に、国際的な法執行機関の協力体制の強化が不可欠だ。ランサムウェアグループの多くが国境を越えて活動している現状では、単一の国や組織の努力だけでは対処が困難である。情報共有プラットフォームの整備や、サイバー犯罪に対する国際法の整備など、グローバルな取り組みが求められる。

参考サイト

1. ^ PR TIMES. 「チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表　LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に | チェック・ポイント・ソフトウェア・テクノロジーズ株式会社のプレスリリース」. https://prtimes.jp/main/html/rd/p/000000309.000021207.html, (参照 24-07-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧