2024年8月に国内外で最も活発なマルウェアやランサムウェアグループが判明：セキュリティニュースアラート

チェック・ポイント・ソフトウェア・テクノロジーズは2024年8月の最も活発なマルウェアやランサムウェアグループを公開した。国内外の脅威グループの動きから、犯罪者たちが新たな収益モデルを構築しようとしていることが判明した。

[後藤大地，有限会社オングス]

　チェック・ポイント・ソフトウェア・テクノロジーズは2024年9月24日、同年8月に最も活発だったマルウェアやランサムウェアグループを発表した。国内および全世界で積極的に活動しているマルウェアやランサムウェアグループ、その攻撃手法などが明らかになった。

国内外ランサムウェアグループの動きから見えた、新たな収益モデルとは？

　2024年8月における国内のマルウェア上位3は以下の通りだ。

• FakeUpdates（3.67％）：　JavaScriptで開発されたダウンローダー（別名：SocGholish）。ペイロードが実行前にディスクにペイロードを書き込み、「GootLoader」や「Dridex」「NetSupport」「DoppelPaymer」「AZORult」など他の多くのマルウェアによる侵害を引き起こす
• Androxgh0st（2.89％）：　「Windows」や「macOS」「Linux」のプラットフォームをターゲットとするbotネット。「PHPUnit」「Laravel Framework」「Apache Web Server」などを標的にする。このマルウェアはTwilioのアカウント情報やSMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する
• Snatch（2.10％）：　2018年に初めて活動が確認された「Ransomware as a Service」（RaaS）グループおよびマルウェア。脅迫を目的とした被害者のデータの窃取と暗号化を実行し、二重脅迫戦術を使用する

　ランサムウェアグループとしては「RansomHub」が1位を維持した。RansomHubは名称を「Knight」に変更してから急速に拡大を続けており、世界中で被害を出している。2024年8月における活発なランサムウェアグループトップ3は以下の通りだ。

• RansomHub：　Knightとして活動していたランサムウェアのリブランド版として登場したRaaS。2024年初頭にアンダーグラウンドのサイバー犯罪フォーラムで初めて観測された。WindowsやmacOS、Linux、「VMware ESXi」環境などさまざまなシステムを標的にした攻撃キャンペーンで急速に認知度を上げている
• Meow：　「Conti」ランサムウェアをベースとした亜種。感染したシステム上のさまざまなファイルを暗号化し、それらに拡張子「.MEOW」を付加することで知られている。「readme.txt」というファイル名のランサムノート（身代金を要求する文書）を残し、被害者に対して電子メールまたはテレグラムを通じて攻撃者に連絡を取り身代金の交渉をするよう指示する
• Lockbit3：　RaaS形態で活動するランサムウェアグループ。2019年9月に初めて観測された。さまざまな国の大企業や政府機関をターゲットにしている。ただし、ロシアおよび独立国家共同体を標的にした活動は確認されていない

　Check Point Software Technologiesのマヤ・ホロウィッツ氏は「RansomHubが2024年8月にランサムウェアのトップに浮上したことは、RaaSオペレーションがますます高度化していることを裏付けており、組織はこれまで以上に警戒する必要がある。この他、Meowの台頭は、データ流出市場へのシフトを浮き彫りにした。これは、ランサムウェア攻撃者による新たな収益モデルを示唆しており、盗まれたデータが単にオンラインで公開されるのではなく、第三者に販売されるケースが増えていることを表している」とコメントした。

　マルウェアランキングのトップ10などより詳細な情報は「August 2024’s Most Wanted Malware: RansomHub Reigns Supreme While Meow Ransomware Surges：　Check Point Blog」から確認できる。