FortiGuard Labsは、Chaosランサムウェアの新亜種を発見したと水曜日に公開したレポートで明らかにした。この新バージョンはC++で書かれており、初の.NET版とは異なるものである。
新亜種は破壊的な暗号化手法とクリップボードハイジャッキング機能を搭載している。大容量ファイルについては削除による破壊を行い、コピーされたビットコインアドレスを攻撃者のウォレットに置き換える機能を持つ。
研究者のYen-Ting Leeによれば、この進化はChaosのより攻撃的な手法へのシフトを示している。Chaosは2025年2月に出現したランサムウェア・アズ・ア・サービス(RaaS)オペレーションで、Cisco Talosによれば元BlackSuitランサムウェアギャングのメンバーで構成されている可能性がある。
FortiGuard LabsとFortinetは、W64/Filecoder.XM!tr.ransom、W64/Filecoder.MLKGEBH!tr.ransom、W64/Imps.1!tr.ransomのAVシグネチャで検出が可能である。
From: 
Chaos Ransomware Upgrades With Aggressive New Variant
【編集部解説】
このニュースで注目すべきは、Chaosランサムウェアが初めてC++で書き直されたという技術的な転換点です。従来の.NET版から言語を変更することで、実行速度の向上とセキュリティソフトによる検出回避能力が大幅に強化されました。C++はメモリ管理が直接的で、システムレベルでの動作が可能なため、マルウェア開発者にとってより強力な武器となります。
特に懸念されるのが、暗号化と破壊を組み合わせた戦術です。通常のランサムウェアは被害者が身代金を支払えばデータを復元できることを前提としていますが、この新亜種は大容量ファイルを削除してしまうため、支払いの動機自体を失わせる可能性があります。これは従来のビジネスモデルからの逸脱であり、純粋な破壊活動への傾斜を示唆しています。
クリップボードハイジャッキング機能も見逃せません。ビットコインアドレスをコピーした瞬間に攻撃者のウォレットにすり替えるこの手法は、ランサムウェア被害者が身代金を支払おうとした際、意図せず攻撃者に二重に支払ってしまうという皮肉な状況を生み出します。Windows Clipboard APIを悪用したこの技術は、他のマルウェアにも応用される可能性が高いでしょう。
2025年2月に新たなRaaSオペレーションとして登場したChaosがBlackSuitの後継として位置づけられている点も重要です。ランサムウェアグループは法執行機関の摘発を受けても、メンバーを再編成して新たなブランドで活動を継続する傾向があります。この「不死鳥」のような性質こそが、ランサムウェア対策を困難にしている根本的な要因なのです。
【用語解説】
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアを開発者が提供し、実行犯(アフィリエイト)が攻撃を行う分業モデル。開発者は身代金の一部を手数料として受け取る。技術力のない攻撃者でも高度なランサムウェア攻撃が可能になるため、サイバー犯罪の民主化を招いている。
二重恐喝攻撃(Double Extortion)
データを暗号化するだけでなく、事前に窃取したデータの公開も脅迫材料とする攻撃手法。被害者がバックアップからデータを復元できる場合でも、情報漏洩のリスクを盾に身代金を要求できる。
クリップボードハイジャッキング
ユーザーがコピーした内容を監視し、特定の文字列(暗号通貨アドレスなど)を攻撃者のものにすり替える手法。Windows Clipboard APIを悪用して実行される。
ビッグゲームハンティング
大企業や組織を標的とし、高額の身代金を要求するランサムウェア攻撃戦略。中小企業への無差別攻撃より効率的に利益を得られるため、近年主流となっている。
Bech32
ビットコインのアドレス形式の一つで、「bc1」で始まる。SegWit(Segregated Witness)に対応しており、従来のアドレスより誤入力に強く、手数料も低い。
侵害指標(IoC: Indicators of Compromise)
システムが侵害された可能性を示す痕跡。ファイルハッシュ値、IPアドレス、ドメイン名、レジストリキーなどが含まれ、セキュリティ対策に活用される。
C++とマルウェア開発
C++は高速で低レベルのシステム操作が可能なため、マルウェア開発に適している。.NETと比較してリバースエンジニアリングが困難で、検出回避能力も高い。
【参考リンク】
FortiGuard Labs(外部)
Fortinetの脅威インテリジェンス部門。世界中のサイバー脅威を監視・分析し、最新のマルウェアや攻撃手法に関する研究レポートを公開。
Fortinet(外部)
サイバーセキュリティソリューション提供企業。ネットワークセキュリティ、エンドポイント保護などの包括的な製品群を展開。
Cisco Talos(外部)
シスコシステムズの脅威インテリジェンス組織。世界最大級のセキュリティ研究チームとして、新興の脅威や攻撃グループを分析。
Dark Reading(外部)
サイバーセキュリティ専門のオンラインメディア。企業のセキュリティ責任者や専門家向けに脅威インテリジェンスを報じる。
【参考記事】
Chaos Ransomware Rises as BlackSuit Gang Falls(外部)
Cisco Talosによる2025年2月のレポート。初回身代金要求額は30万ドルで、米国、英国等を標的としている。
New Chaos Malware Variant Ditches Wiper for Encryption(外部)
BlackBerryの分析。Chaosが当初はワイパー型だったが、バージョン5で完全な暗号化機能を獲得した経緯を解説。
Chaos Malware Resurfaces With All-New DDoS & Cryptomining Modules(外部)
Black Lotus Labsによる別系統のChaos報告。Go言語で書かれたDDoS/クリプトマイニング型ボットネット。
【編集部後記】
ランサムウェアの進化は、まるで生物の適応のように絶え間なく続いています。今回のChaosのように、一度摘発されたグループが形を変えて復活する様子を見ると、サイバーセキュリティの世界がいかに流動的であるかを実感させられます。
皆さんの組織では、クリップボードの内容を監視するような新しい攻撃手法に対応できているでしょうか。また、バックアップがあれば安心という従来の考え方が、データ破壊とデータ窃取を組み合わせた攻撃の前では通用しなくなりつつあります。
