身代金交渉にAIチャットbotを採用? 新興ランサムグループの詳細:セキュリティニュースアラート
新興ランサムウェアグループ「GLOBAL GROUP」の詳細が明らかになった。このグループは既存ランサムウェア「Mamona RIP」と「Black Lock」の攻撃基盤を再利用しており、身代金交渉用にAIチャットbotを採用していることも判明している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Picus Securityは2025年7月21日(現地時間)、新興ランサムウェアグループ「GLOBAL GROUP」が既知の「Mamona RIP」および「Black Lock」のリブランドに当たることを明らかにした。同社が発表した技術調査結果から、既存の攻撃基盤やコードを再利用している実態が浮き彫りにされている。
身代金交渉にAIチャットbotを採用? 新興ランサムグループの脅威
GLOBAL GROUPは2025年6月、サイバー犯罪フォーラム「Ramp4u」において新たなRaaS(Ransomware as a Service)として登場した。自動交渉機能や複数OSに対応したペイロード、高い利益分配率などが主な特徴とされている。
同社の分析によると、マルウェアサンプルの逆解析やAPIメタデータの解析、運用インフラの調査結果から「Mamona RIP」や「Black Lock」といった既存ランサムウェアのコードやインフラを再利用していることが判明している。
GLOBAL GROUPのランサムウェアはプログラミング言語「Go」で記述され、「Windows」「Linux」「macOS」に対応する単一のバイナリとして構成されている。ペイロード内部には「Global\Fxo16jmdgujs437」というミューテックス文字列が含まれており、Mamona RIPでも使用されていたものとされている。暗号化アルゴリズムには「ChaCha20-Poly1305」が採用されており、同時並列で全ドライブに対し暗号化処理を実行する。ファイル名の暗号化や拡張子の変更なども実装されており、復旧を困難にすることが狙いとみられている。
ランサムノートはバイナリ内にハードコードされており、被害者には「Tor」ブラウザのリークサイトや交渉パネルへのアクセスが指示される。該当のWebサイトはJavaScriptベースで構築されており、被害者情報を取得するAPIエンドポイントが公開されている状態で運用されていた。この実装ミスにより、SSH接続情報やIPアドレス(193.19.119[.]4)など、内部運用の一部が外部から確認可能となっていた。これらの情報は、GLOBAL GROUPが過去にMamona RIPで使用されていたインフラを再利用していることを裏付けている。
ビルダー機能においては、暗号化割合の指定やセキュリティプロセスの終了、ログ削除、自己削除機能など複数のオプションを設定可能だ。生成されるペイロードは対象環境ごとにコンパイルされ、ZIP形式で配布される。これらは実行時に不要な機能を除外する構造となっており、検出回避やファイルサイズ削減を意図した設計とみられている。
交渉パネルにはAIチャットbotが導入されており、復号の信頼性を示すファイル検証機能や、期限付きの脅迫文が組み込まれている。過去の交渉ログからは、被害組織に対して9.5BTC(2025年7月24日時点で日本円で約1700万円相当)の支払い要求が確認されている。
初期侵入に関しては、外部の初期アクセスブローカー(IAB)からRDP接続情報が取引されており、オペレーターは投稿スレッドで直接交渉することもある。特定のIABはFortinetやPalo Alto GlobalProtect、Microsoft OWAなどを標的としたツールも提供しており、これらの利用による侵入経路の拡大が確認されている。
Picus Securityの分析ではGLOBAL GROUPは単なる新規グループではなく、既存の攻撃基盤を再構築・再販している存在とされている。MutexやIPアドレス、ホスティングプロバイダー、ビルダーの構成要素などにおいて明確な再利用が確認されている。また脅威アクターのコミュニケーションツール「qTOX」における表示名にも「Global Black Lock」が使われており、旧ブランド「Black Lock」の痕跡が残っている。
Picus Securityは次のような検知対策を推奨している。
- GoベースのマルチスレッドChaCha20-Poly1305暗号化処理の検出
- カスタムファイル拡張子パターンやファイル名暗号化の兆候の特定
- 「wevtutil」や「vssadmin」などのWindowsネイティブユーティリティーの不審な使用状況の監視
- 公開クラウドインフラを標的とした不正なSSHアクセスの監視
- 非ドメイン参加端末から始まる横展開の異常検知
これらの検知対策は、静的シグネチャに依存しない振る舞いベースの検出と組み合わせることで有効性を高めることが可能だ。組織は、侵害および攻撃シミュレーション(BAS)などを活用し、現実的な脅威に対し既存対策が有効に機能するかどうかを継続的に検証することが求められている。
関連記事
セキュリティ軽視でIPO延期…… そのとき情シスは何ができたのか?
セキュリティ対策が進まない真因には、投資や人材不足、部門の地位向上など「政治力」の不足で生じる問題が多々存在します。この連載は情シスやセキュリティ部門が従来のコストセンターを脱して価値を発揮するためのアドバイスをお伝えします。
“壊れていない”は通用しない 旧式スマホに迫る“Xデー”とは?
中古スマホやPCを安価に購入して使用する人が増える中、考えたいのがOSやアプリの「サポート期限切れ」によって、突然使えなくなるリスクです。ライフラインであるスマホが使えなくなれば生活に支障を来す可能性も。対策はあるのでしょうか。
QRコードはもう止めて…… 筆者が「これはいけるかも?」と思う代替策
QRコードを悪用したフィッシング「クイッシング」は遷移先のWebサイトなどを目視で判別できず、不正対策が難しいものです。そこで筆者が考えるQRコードに代わる新たな代替策とは。
ChatGPTにマルウェアを作らせる意外な方法 "没入型"の演出でAIを騙す
生成AIのガードレールを突破するテクニック“ジェイルブレーク”(脱獄)はさまざまな手法が登場している。あるセキュリティ企業が開発した奇妙な脱獄手法「イマーシブルワールド」はChatGPTにマルウェアを作らせた。その中身を紹介しよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。