LockBit3の衰退後、ランサムウェアグループRansomHubが活発に──チェック・ポイント調査

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（以下、CPR）は、2024年6月の最新版Global Threat Index（世界脅威インデックス）を発表した。

LockBit3の衰退後、ランサムウェアグループ「RansomHub」が活発に

　2月に行われたLockBit3に対する法執行措置の結果、4月中のLockBit3の被害者数はわずか27という過去最低数を記録。その後、5月には被害者数170という原因不明の増加を見せたものの、6月には再び20を下回り、潜在的な被害者の減少を示したという。

　現在、多くのLockBit3の関連組織が他のRaaSグループの暗号化ツールを使用しており、他の脅威アクターによる被害の報告が増加している。2024年に初めて姿を現し、6月には80組織近くの新たな被害者を出し、著しい隆盛を見せた。特筆すべきは、公表された被害者のうちアメリカの被害者はわずか25％で、ブラジル、イタリア、スペイン、イギリスが残りの大多数を占めていることだという。

国内ランキングでも上位をキープするFakeUpdatesに新たな動きが

　その他の動向として、CPRのリサーチャーはFakeUpdates（別名、SocGholi）の最近のキャンペーンに注目しているとのことだ。過去数ヵ月にわたり最も活発なマルウェアとして上位にランクインしているFakeUpdatesは、新たにBadSpaceと呼ばれるバックドアマルウェアを配信していることが明らかになった。

　FakeUpdatesの拡散を促進しているのは第三者のアフィリエイトネットワークで、このネットワークは危険なウェブサイトからのトラフィックをFakeUpdatesのランディングページへとリダイレクトする。このランディングページでは、ユーザーにブラウザのアップデートと思われるファイルをダウンロードするよう促すという。しかしこのダウンロードには、実際にはJScriptベースのローダーが含まれており、BadSpaceバックドアをダウンロードして実行。BadSpaceは検知を回避するために、難読化技術とアンチサンドボックス技術を採用し、スケジュール化されたタスクによって持続的に稼働を維持している。そのコマンド＆コントロール通信は暗号化されているため、傍受は困難だという。

国内で活発な上位のマルウェアファミリー

　国内ランキングは4月、5月に続きAndroxgh0stが国内企業の2.90％に影響を与え、首位に立った。続く2位には影響値1.63％でモジュール型トロイの木馬であるBMANAGERが初めてランキング上位に。そして、AgentTeslaが1.27％の国内企業に影響を与え、3位となった。なお、次の矢印は前月と比較した順位の変動を示している。

1. ↔ Androxgh0st（2.90％）：Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している
2. ↑ BMANAGER（1.63％）：BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬である。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む洗練されたマルウェア配信システムの使用へと進化している。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計された様々なコンポーネントを含むスイートの一部である。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出す
3. ↑ AgentTesla（1.27％）：AgentTeslaは、キーロガーとパスワード窃取機能を持つRAT（リモートアクセス型トロイの木馬）である。2014年から活動しており、AgentTeslaは被害者のキーボード入力やシステムクリップボードを監視・収集し、スクリーンショットを記録し、被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアントなど）を通じて認証情報を抽出する

グローバルで活発な上位のマルウェアファミリー

　6月には、FakeUpdatesが最も流行したマルウェアとなり、全世界の組織の7％に影響を及ぼした。続く2位にはAndroxgh0stがランクインし、世界的な影響は6％、3位のAgentTeslaは世界的な影響は3％であった。なお、次の矢印は前月と比較した順位の変動を示している。

1. ↔ FakeUpdates：FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす
2. ↔ Androxgh0st：Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している
3. ↑ AgentTesla：Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出する

悪用された脆弱性のトップ

　次の矢印は前月と比較した順位の変動を示している。

1. ↑ Check Point VPNの情報漏えい（CVE-2024-24919）：Check Point VPNに情報漏えいの脆弱性が発見された。攻撃者はこの脆弱性によって、リモートアクセスVPNまたはモバイルアクセスが有効なインターネット接続ゲートウェイ上の特定の情報を読み取る可能性がある
2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）：複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるもの。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる
3. ↑ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）：HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割をもっている。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる

モバイルマルウェアのトップ

　次の矢印は前月と比較した順位の変動を示している。

1. ↑ Joker：JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されている。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能である
2. ↓ Anubis：AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、RATとしての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている
3. ↓ AhMyth：AhMythは、2017年に発見されたRATである。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う

世界的に最も攻撃されている業種、業界

　6月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野であった。2位は「政府・軍関係」、3位は「保健医療」と続いた。

最も活発なランサムウェアグループ

　このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいているという。6月に最も活発だったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち21％に関与していた。2位はPlayで全体の8％を占め、3位のAkiraは5％を占めている。

1. RansomHub：RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げた。このマルウェアは、高度な暗号化手法を用いることで知られている
2. Play：Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループ。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしている。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスする。ひとたび内部に侵入すると、LOLBin（環境寄生バイナリ）の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行する
3. Akira：2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としている。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似している。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布される。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示される

【関連記事】
・ジオテクノロジーズ、「CSIRT MT.mss」導入で情シスが脆弱性モニタリング注力可能に
・全Webトラフィックの65％は悪性　ECへの影響とは──Akamai Technologies調査
・大日本印刷、公開IT資産のセキュリティ監視を支援するサービス提供　企業に代わりリスクの対策例を報告