Last Updated on 2024-06-05 22:33 by 荒木 啓介
RansomHubと呼ばれる新しいランサムウェアの種類が、Knightランサムウェアの更新された再ブランド版であることが分析で明らかになった。Knightランサムウェアは2023年5月に登場し、被害者のデータを盗み暗号化する二重の恐喝戦術を採用していた。このランサムウェアはWindows、Linux、macOS、ESXi、Androidなど複数のプラットフォームで活動している。RAMPサイバー犯罪フォーラムで広告され、販売されていたが、2024年2月末にソースコードが販売されたことで運営が停止し、異なるアクターによってRansomHubとして更新・再起動された可能性がある。
RansomHubはその月に最初の被害者を公表し、最近数週間で一連のランサムウェア攻撃に関連している。このランサムウェアは独立国家共同体(CIS)諸国、キューバ、北朝鮮、中国の対象を避けると宣言している。Symantecによると、KnightとRansomHubはいずれもGo言語で書かれており、コードの重複が顕著であるため、両者を区別することが非常に困難である。両者はコマンドラインのヘルプメニューが同一であり、RansomHubは特定の時間(分単位)実行を遅らせる新しい「sleep」オプションを追加している。
RansomHubの攻撃は、ZeroLogonなどの既知のセキュリティ欠陥を利用して初期アクセスを得て、ランサムウェア展開前にAteraやSplashtopなどのリモートデスクトップソフトウェアをドロップすることが観察されている。Malwarebytesによると、2024年4月だけで26件の攻撃が確認されている。Google所有のMandiantは、RansomHubがLockBitやBlackCatのような最近のシャットダウンや出口詐欺に影響を受けたアフィリエイトの募集を試みていると報告している。
【ニュース解説】
RansomHubとは、以前にKnightランサムウェアとして知られていたものが更新され、再ブランド化された新しいランサムウェアの種類です。このランサムウェアは、被害者のデータを盗み、それを暗号化することで金銭を要求する二重の恐喝戦術を用いています。対象となるプラットフォームはWindows、Linux、macOS、ESXi、Androidに及び、広範囲にわたる攻撃が可能です。RansomHubは、特定の国々を攻撃対象から除外すると公言しており、その運用はサイバー犯罪のフォーラムで広告され、販売されていました。
このランサムウェアは、既知のセキュリティ欠陥を利用してシステムに侵入し、ランサムウェアを展開する前にリモートデスクトップソフトウェアを導入することで、攻撃を実行します。また、RansomHubは特定の時間実行を遅らせる「sleep」オプションを新たに追加しており、これにより検出を避けるための戦略を採用しています。
このランサムウェアの出現は、サイバーセキュリティの世界において重要な意味を持ちます。まず、ランサムウェアの再ブランド化や更新は、サイバー犯罪者がより洗練され、追跡を避けるための新しい方法を模索していることを示しています。また、複数のプラットフォームにまたがる攻撃能力は、企業や組織が直面する脅威の範囲を広げています。
このようなランサムウェア攻撃は、被害者にとって重大なデータ損失や金銭的損害をもたらす可能性があります。さらに、攻撃が成功すると、他のサイバー犯罪者にとって模範となり、類似の攻撃が増加する可能性があります。そのため、組織や個人は、セキュリティ対策を強化し、最新の脅威情報に常に注意を払う必要があります。
一方で、このランサムウェアの出現は、セキュリティ研究者や対策を講じる企業にとっても重要な情報です。攻撃手法や使用されるツールの分析を通じて、より効果的な防御策や対応策を開発することが可能になります。また、ランサムウェア攻撃の傾向や特徴を理解することで、将来的な脅威を予測し、事前に対策を講じることができます。
最終的に、RansomHubのようなランサムウェアの出現は、サイバーセキュリティの重要性を改めて浮き彫りにします。組織や個人は、セキュリティ対策を常に最新の状態に保ち、教育や訓練を通じてサイバー攻撃への対応能力を高めることが求められます。また、サイバーセキュリティコミュニティ全体が情報共有や協力を強化することで、これらの脅威に効果的に対抗することができるでしょう。
from Rebranded Knight Ransomware Targeting Healthcare and Businesses Worldwide.
