Symantecはこのほど、「RansomHub: New Ransomware has Origins in Older Knight|Symantec Enterprise Blogs」において、成長著しいランサムウェア「RansomHub」はランサムウェア「Knight」の後継の可能性が非常に高いと報じた。ただし、ランサムウェアの運営者は別人の可能性が高いと指摘している。
ランサムウェア「Knight」の閉鎖
「Knight」は2023年5月に初めて存在が確認されたランサムウェア。Windows、Linux、macOS、VMware ESXi、Androidなど復数のプラットフォームを標的にする。ランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)としても運営され、多くのサイバー犯罪者に利用されたとみられている。2024年2月、Knightの開発者は運営の終了を決定し、ソースコードをアンダーグラウンドフォーラムで販売した。
ランサムウェア「RansomHub」の登場
ランサムウェア「RansomHub」はKnightのソースコード販売と同じ2024年2月に存在が確認された。Symantecの分析によると、どちらもGo言語で記述されており、区別が困難なほどコードの重複が多く確認できるという。他にも身代金メモに類似点が存在することから、RansomHubはKnightのソースコードに修正を加えたものと推測されている。
Symantecの最近の調査では、RansomHubを使用する攻撃者はMicrosoftのNetlogonの脆弱性「CVE-2020-1472」を悪用し、初期アクセスを取得したことが確認されている。このとき、攻撃者はランサムウェアを展開する前に、Splashtopと統合したAteraのリモート監視および管理(RMM: Remote Monitoring and Management)ソフトウェアとNetScanを使用したという。
RansomHubは成長著しく、登場からわずか3カ月で4番目に攻撃件数の多いランサムウェアに名乗りを上げている。