ウィズセキュアは11月16日、同社のリサーチチームによる2023年第1~第3四半期のランサムウェア攻撃の傾向をまとめたリサーチの結果を発表した。これに先立ち、同10日に都内で「最新サイバー脅威解説セッション」が開催された。
説明会には、フィンランド本社から来日したWithSecure CRO(Chief Research Officer)のMikko Hypponen(ミッコ・ヒッポネン)氏が出席したほか、冒頭には11月1日付で日本法人のカントリマネージャーに就任した藤岡健氏が挨拶を行った。
日本法人のカントリマネージャー就任にあたり、藤岡氏は次のように抱負を語った。
「セキュリティベンダーの立場としてお客さまの声に耳を傾けて、いま起きていること、そして将来起き得るセキュリティの対策について正しいソリューションを提供することが一番のミッションになる。また、お客さまと日々のコミュニケーションを取られているパートナーの意見・考え方も重要になる。ウィズセキュアは、ともにITの環境をセキュアにしていくことを標榜しているため、今後も当社のソリューションの価値を理解してくれるパートナーに対しても、さまざまな形でノウハウ・技術を提供してもらうと同時に、お客さまからのフィードバックを得て、ともに安全なIT環境を構築ソリューションを提供できればと考えている」(藤岡氏)
2023年は新たなランサムウェアが登場
最新サイバー脅威解説セッションでは、ヒッポネン氏に加え、ウィズセキュア サイバーセキュリティ技術本部 本部長の島田秋雄氏が説明に立った。脅威解説セッションでは、2023年第1~第3四半期にWithSecureのテレメトリーで観測された新型ランサムウェアを対象としている。
はじめに、島田氏は「2021年から2022年にかけてランサムウェアの活動は従来と比較して、わずかに減少傾向にあったが、2023年には急増した。2022年はLockbitやAlphv、Clopなどが活発だったが、2023年の多くは新たなランサムウェアの登場に起因している」と説く。
調査結果では2023年第1~3四半期において、ランサムウェアグループからのデータリークは前年同期比で50%増加し、LockBitがリークの最大シェア(約21%)を占め、リークが多かった5つのグループ(8Base、Alphv/BlackCat、Clop、LockBit、Play)が全体の50%以上を占めた。
また、分析の対象となったデータリークの約25%は、2023年になってから活動を開始した新規のランサムウェアグループによるものとなり、29の新規ランサムウェアグループのうち、14はすでに消滅または活動を停止。2023年1月~9月のすべての月に活動が観測されたのは、60グループ中わずか6グループだけとなっている。
島田氏によると、RaaS(Ransomware as a Service)上でランサムウェアの利用者(アフィリエイト)と開発者(デベロッパー)の内紛により、2022年にContiやLockbit 3.0、Babukなどのソースコードが流出し、それらに手を加えてリサイクルし、攻撃を仕掛けたためランサムウェアが2023年は活発化したという。
では、利用者と開発者の分業が進むことで、どのような脅威が存在するのか。
その点について、ヒッポネン氏は「リサイクルされたランサムウェアだから危険が少ないというのは間違い。犯罪集団にとっては新しい形のビジネスになっており、そのカギは暗号化のスピードだ。つまり、被害者のサーバやワークステーションなどのデータを素早く暗号化することであり、この分野のリサイクルが増加している。通常、企業への攻撃は脆弱性を用いたうえでランサムウェアを仕掛けるが、脆弱性とランサムウェアの2つのオペレーションは別々に行われている。攻撃者がネットワークに侵入し、古いソースコードを再利用していたとしても気にしない。単にランサムウェアを仕掛けることができれば、成功したと見なされることから、ランサムウェアの再利用は攻撃者の観点かれすれば非常に良いが、被害者としては悪いと言える」との見解を示す。
ランサムウェアの新たな巨人
次に、島田氏はランサムウェアの新たな巨人と新型ランサムウェアの特徴について解説した。まずは新たな巨人から。ここでは、8BaseとAkiraが紹介された。
8Baseは2023年5月に活動を開始し、ランサムウェアのPhobos lockerを大幅に改造したものが使用されており、X(旧:Twitter)上で活発な動きを見せていたが、最近になってアカウントが凍結された。
すでに、これを利用した情報の流出は発生しており、IABで侵入してマルウェアのSmokeLoaderを仕掛ける初期アクセスを対象としている。
Akiraは2023年4月に活動を開始。コードの多くは独自のものだが、プレイブックは前身のグループであるContiとの共通点が見られるという。また、Contiとの他の共通点としてはContiの利用者が以前使用していた暗号ウォレットの再利用が挙げられる。
初期アクセスとして、フィッシング、IAB、VPN/RDP(Remote Desktop Protocol)、ブルートフォース攻撃となる。島田氏は「Contiは有力だったため、Contiがやったことが上手くいったなら、それをベースに手を変え品を変えマルウェアを作ればいい、という安直な考え方になっている」と説明した。
新型ランサムウェアの特徴
そして、新型ランサムウェアとして「Cactus」「CatB」「Cyclops/Knight」「DarkPower」「Malas Locker」「Rorschach」の特徴が説明された。
Cactusは2023年7月に活動開始し、暗号化プログラムの特徴は実行前に復号化するための鍵を必要とし、アンチウイルスでは検出されにくい鍵はntuser.datというファイルに保存され、スケジュールされたタスクでロードされる。
CatBはMSDTC(Microsoft Distributed Transaction Coordinator)を介して、Windowsのプログラムファイルの一種であるDLL(Dynamic Link Library)をハイジャックしてランサムウェアのペイロードを抽出し起動する。
システムに感染したという明らかな兆候を残さず、別の身代金要求書、デスクトップの壁紙変更やファイル拡張子の変更もない代わりに、身代金要求書は暗号化された各ファイルの冒頭に埋め込まれており、ビットコインウォレットは空の状態のため成功していないという。
Cyclops/Knightはスプレー&プレイキャンペーン(手あたり次第の無差別攻撃)用に設計されたライトバージョンを含む、2つのバージョンのロッカー。
ライトバージョンはトリップアドバイザーといった、説得力のあるものを使ったスピアフィッシングで配布。特異なビットコインアドレスはデータが復元不可能であることを示唆し、完全版には流出ツールも含まれ、データは犯罪者の流出サイトに掲載されている。
Dark Powerは暗号化の速さで知られるクロスプラットフォームのプログラミング言語「Nim」で書かれ、身代金要求書が8ページのPDFファイル。コミュニケーションは、Dark Powerが独自に持つツールキット「Tox」を経由して行われる。
Malas Lockerは、チャリティへの寄付を被害者に要求する奇妙なグループ。リークサイトには社会正義運動に関連したスペイン語の標語として「Somos malas, Podemos ser peores(私たちは悪い、もっと悪くなる可能性がある)」と掲載されている。
Rorschachは、ランサムウェアグループによる暗号化速度の競争に勝つことだけを目的に作成された可能性があるという。Cortex XDRツールを悪用してDLLのサイドローディングで展開し、独自のセキュリティ回避策(すべて1に変換される)、ユニークなGPO(Group Policy Object、Active Directoryの設定)の作成と伝播をしていく。
マルウェアキャンペーンが完全に自動化される未来
こうした、新たなランサムウェアの脅威に対してヒッポネン氏は「仮に侵入を許した場合は既知のマルウェアであればEPP(Endpoint Protection Platform)で保護、パッチの当て忘れや未知のマルウェアであればEDR(Endpoint Detection and Response)でネットワークを監視してベースラインを構築し、通常状態を特定する。通常状態が把握できれば異常状態の検知が可能になるが、完璧なものではない。未知の攻撃に対しては異常検知は強力なツールであり、当社の製品でも1つの機能として提供している」と述べていた。
また、AIによる影響については「近い将来で起きるだろうと考えていることは、マルウェアキャンペーンが完全に自動化されることだ。現在は、防御側でAIを利用して迅速に対応しているが、攻撃者は手動のため遅い。こうした状況は変化し、攻撃者は対応を自動化し、防御側と同じようになるだろう。どちらが勝つか分からないが、長年の蓄積で攻撃者より優れてはいるものの、どうなるのかは未知数だ」と予測している。
さらに、島田氏は最後に「観測期間中に29のランサムウェアが観測され、その多くは短命で終わり、主流はコードとTTP(戦術、技術、手順)の流用となっている。確立されたランサムウェアプレイブックが機能し、その手法からの逸脱は見られず、型は新しくなっても攻撃のバリエーションの変化は小さい」と締めくくった。