ランサムウェア最新情勢

ランサムウェア最新情勢【セキュリティコラム第2弾 第2回】

前回のコラムでもランサムウェアに関する内容は明記しましたが、ランサムウェアの脅威は現在最も注意すべき最大の脅威であり、その脅威は年々増加の一途をたどっています。

今年に入ってからも、大手中小関係なく、様々な企業がランサムウェアの被害に遭っており、経済活動に多大な損害を与えているのはご存知の通りです。

大手メディアであるKADOKAWAが被害にあったことで、一躍有名になった「BlackSuitランサムウェア」。米CISAとFBIによる発表によると、元々は「Royalランサムウェア」という名称で攻撃を行っており、ブランド変更がなされた犯罪者集団であった、とのことでした。

ランサムウェアの変遷

実は「Royalランサムウェア」はその攻撃手法から「Contiランサムウェア」の後継とされ、「Contiランサムウェア」の源流は、2018年から2019年に暗躍した「Ryukランサムウェア」。Ryukランサムウェアは2017年に暗躍した「Hermesランサムウェア」の亜種です。
ランサムウェアの変遷をまとめると以下のような流れになっています。

「ランサムウェアの変遷」
2017年：Hermes
↓
2018年～：Ryuk
↓
2020年～：Conti
↓
2022年～：Royal
↓
2024年：【今】BlackSuit

ランサムウェアは、過去に攻撃が成功した際の技術を継承する特徴があり、最新情報を抑えるには、どのような変遷があったのかを抑えるのが効果的です。

ランサムウェア変遷の中で、押さえておくべきブランドは「Ryukランサムウェア」です。

どのような手順で攻撃してくるのか

侵入後は、Windows端末に標準で備わっているコマンドプロンプトやPowerShell等を利用し、ウイルス対策ソフトを回避しつつ、足場固めを行います。攻撃者があらかじめ用意している遠隔操作サーバ（C2サーバ）への接続には、Secure Shell (SSH) クライアントやPuTTY、OpenSSHなどが使われます。これらソフトウェアも正規のものであるため、ウイルス対策ソフトやUTMが反応できません。

更に攻撃者は、攻撃の範囲を広げるためにウイルス対策ソフト（特に、Windows Defender）の無効化を試みたり、ドメインコントローラを探索し、Windowsサーバのアップデートがなされていない場合はその脆弱性を突いてドメインコントローラに侵入し、本格的な攻撃へと移行していきます。

BlackSuitも二重脅迫型を踏襲するランサムウェアであるため、暗号化処理を行う前に、情報の集約と窃取を行い、それらが終了したあとにデータを暗号化し、暗号化が終了したタイミングを見計らって各種ログファイル（アプリケーション、システム、セキュリティ イベント ログ）を削除します。

サイバー被害に遭わないために

以上のように、ランサムウェアは過去の技術を継承しつつも、ウイルス対策ソフトの検出を回避するための正規プログラムやソフトウェアを活用します。そして、このような攻撃者の攻撃パターンがわかれば、対策方法も見えてきます。例えばPuTTYやOpenSSHを使っていないのにインストールされているのは明らかに危険な兆候がある、等です。

攻撃者の最新動向を把握することは、サイバー被害に遭わないためにも有効であることを覚えておきましょう。