** 本記事は、The Ransomware Threat Intelligence Center の翻訳です。最新の情報は英語記事をご覧ください。**
はじめに
ランサムウェアの情勢は複雑であり、多くの新しいランサムウェアが登場し急速に進化しています。新しく名前を変えただけのランサムウェアグループが絶えず現れては消えており、グループの背後にいるオペレーターは、互いの攻撃ツールやプレイブック、さらにはインフラストラクチャを共有したり、レンタルしたり、盗んだり、コピーしたりしながら悪用しています。
ソフォスは長年にわたり、ランサムウェアの動向を監視してレポートしており、優れた分析によって知見を提供し、ライブラリを構築してきました。ランサムウェア脅威インテリジェンスセンターは、2018 年から現在までにソフォスが発表した、流行しているランサムウェアの脅威、新しいランサムウェアの脅威、そのツール、手法、行動に関する最も重要なリサーチ記事およびレポートを厳選してまとめました。新しい資料を入手でき次第、記事内容は定期的に更新される予定です。
セキュリティのベストプラクティスに関するアドバイスや「ランサムウェアの現状」レポートの最新版を、ランサムウェアに関する詳細な情報は、ソフォスが公開しているランサムウェアを阻止するための資料をご覧ください。
2018 年〜2022 年: ランサムウェアの流行グループと新グループに関するソフォスのリサーチとレポート
Astro Locker
Sophos MTR 速報: Astro Locker Team とは?
2021 年 3 月 31 日 – ソフォスのインシデントレスポンス調査により、Astro Locker と Mount Locker ランサムウェアの類似点が発見されました。
Avos Locker
セーフモードを悪用する Avos Locker ランサムウェア攻撃が急増
2021 年 12 月 22 日 – ソフォスは、比較的新しいサービスとしてのランサムウェア (RaaS) である Avos Locker が、ランサムウェアを実行するために標的のコンピュータをセーフモードで起動し、セキュリティソフトウェアを無効にしようとした手法について報告しました。
Atom Silo
ランサムウェア組織 Atom Silo、侵入に Confluence の脆弱性を悪用
2021 年 10 月 4 日 – ソフォスは、比較的新しいランサムウェアグループ Atom Silo が、アトラシアン社のコラボレーションソフトウェア Confluence の新しい脆弱性を利用し、エンドポイント保護ソフトウェアを妨害しようとする攻撃について報告しています。また、Confluence の脆弱性はクリプトマイナーにも悪用されていました。
Avaddon
2021 年 5 月 24 日 – 特定のランサムウェアファミリーを含む攻撃の影響を受けている、IT 管理者を支援するために作成された記事シリーズの一部です。
Black Kingdom
Exchange Server を標的とする Black Kingdom ランサムウェア
2021 年 3 月 23 日 – ソフォスは、ProxyLogon エクスプロイトを防止するためのパッチが適用されていない Microsoft Exchange Server を標的とする、新しいものの従来型の機能を実装したランサムウェアについて報告しました。
BlackMatter
DarkSide 閉鎖の穴を埋める新たなランサムウェア「BlackMatter」
2021 年 8 月 9 日 – BlackMatter と名乗り、REvil、DarkSide、LockBit 2.0 のツールや技術を採用した新しい RaaS について、ソフォスは報告しました。
Conti
ソフォスは、Conti の RaaS (サービスとしてのランサムウェア) が広く利用している状況について報告しています。ロシア・ウクライナ戦争を受けて、ロシアを拠点とする Conti グループ内部のコミュニケーション、ソースコードなどが次々とリークされました。今後セキュリティ研究者は、注意すべきこの脅威の進化を引き続き追跡していくことになるでしょう。
Conti ランサムウェアに関するソフォスの分析・洞察は以下の通りです。
2021 年 2 月 16 日 – 特定のランサムウェアファミリーを含む攻撃の影響を受けている、IT 管理者を支援するために作成された記事シリーズの一部です。
2021 年 2 月 16 日 – ソフォスは、Conti ランサムウェアを広める攻撃者が、完全にファイルレスな攻撃方法にギアを切り替えたことを報告しました。
2021 年 2 月 16 日 – ソフォスは、Conti ランサムウェアのインシデントの展開について報告しました。
Conti アフィリエイトによるランサムウェア攻撃で ProxyShell Exchange の使用が確認される
2021 年 9 月 3 日 – ソフォスは、ProxyShell エクスプロイトを使用した Conti ランサムウェア攻撃に関する調査について報告しました。
ProxyShell エクスプロイト経由で Conti と Karma が医療機関を同時攻撃
2022 年 3 月 2 日 – ソフォスは、Karma と Conti の両方のランサムウェアオペレーターが、同時に医療機関のネットワークに侵入するという珍しい二重のランサムウェア攻撃について報告しました。
Cring
古い Adobe ColdFusion の脆弱性を悪用するCring ランサムウェア
2021 年 9 月 21 日 – ソフォスは、未知の攻撃者が 11 年前にインストールされた Adobe ColdFusion 9 の脆弱性を悪用し、Cring ランサムウェアを展開したことを報告しています。
DearCry
Exchange Server の脆弱性を悪用する DearCry ランサムウェア
2021 年 3 月 15 日 – ソフォスは、悪名高い WannaCry ランサムウェアを模倣した、シンプルで「初心者向け」のランサムウェアである DearCry について報告しています。
Dharma
誰でも容易に攻撃に参加できる RaaS 攻撃「Dharma」の詳細
2020 年 8 月 12 日 – ソフォスは、中小企業をターゲットとし、アフィリエイトに段階ごとの詳細な攻撃スクリプトを提供する Dharma RaaS について報告しました。
DarkSide
2021 年 5 月 11 日 – ソフォスはランサムウェアグループ「DarkSide」の攻撃手法について詳細な分析を行いました。
Egregor
Maze ランサムウェアの亜種とみられる Egregor の攻撃が増加
2020 年 12 月 8 日 – ソフォスは、閉鎖した Maze の後を引き継いだと思われる、Sekhmet ランサムウェアの新しい亜種について報告しています。
Entropy
Dridex ボットで拡散されるランサムウェア「Entropy」
2022 年 2 月 23 日 – ソフォスは、Entropy ランサムウェアで使用されているコードが、Dridex マルウェアで使用されているコードと類似しており、起源が共通している可能性があると報告しています。
Epsilon Red
機能を最小限に絞った新たなランサムウェア「Epsilon Red」
2021 年 5 月 28 日 – ソフォスは、機能のほとんどを PowerShell スクリプトにオフロードする、シンプルで新しいランサムウェアについて報告しています。
GandCrab
GandCrab の基本:現在最も広く配信されているランサムウェアについて知っておくべきこと
2019 年 3 月 5 日 – 2019 年に広く拡散したランサムウェアを深く分析した結果を報告しました。
MySQL サーバーを直接攻撃するランサムウェア「GandCrab」
2019 年 5 月 24 日 – GandCrab ランサムウェアを用いて、インターネットに接続された Windows データベースサーバーを攻撃する未知の攻撃者について、ソフォスは報告しました。
Karma
ProxyShell エクスプロイト経由で Conti と Karma が医療機関を同時攻撃
2022 年 3 月 2 日 – ソフォスは、Karma と Conti の両方のランサムウェアオペレーターが、同時にヘルスケア事業者のネットワークに侵入するという珍しい二重のランサムウェア攻撃について報告しました。
LockBit
REvil と Maze の攻撃手法を模倣する LockBit ランサムウェア
2020 年 4 月 24 日 – LockBit が他の有名なランサムウェアグループの攻撃手法や行動をどのように実装しているかについて、ソフォスは報告しました。
価値の高いターゲットを特定するために自動攻撃ツールを用いる LockBit ランサムウェア
2021 年 10 月 21 日 – ソフォスは、LockBit ランサムウェアのオペレーターが、PowerShell のコピーやその他の自動化ツールを使用して、貴重なデータがあるシステムを検索する方法について報告しています。
LockFile
LockFile ランサムウェアの攻撃手法: 断続的な暗号化と検出回避
2021 年 8 月 27 日 – ソフォスは、ProxyShell を活用し、ランサムウェア対策ツールによる検出を回避するためにファイルを断続的に暗号化する新しいランサムウェアファミリーを発見しました。
Matrix
攻撃範囲が限定されている標的型ランサムウェア「Matrix」
2019 年 1 月 30 日 – ソフォスは、脆弱なリモートデスクトップを利用してネットワークに侵入し、標的を混乱させて攻撃を仕掛ける Matrix ランサムウェアについて報告しました。
Maze
2020 年 5 月 12 日 – ソフォスは、Maze ランサムウェアのオペレーターが、身代金要求の支払いを被害者に強要する方法として、データの窃取を利用した最初のランサムウェアの 1 つであることを報告しました。
「Ragnar Locker」による仮想マシンの手法を導入した Maze ランサムウェア
2020 年 9 月 17 日 – ソフォスは、Maze のオペレーターが、ランサムウェアの展開に何度か失敗した後、Ragnar Locker の厄介なランサムウェア配信手法を採用したことを報告しました。
MTR 事例紹介:1,500 万ドルを要求するランサムウェア攻撃を阻止
2020 年 9 月 22 日 – Maze による大規模なランサムウェア攻撃の展開をその進行を日単位で解説しています。
MegaCortex
唯一無二の存在を目指す MegaCortex ランサムウェア
2019 年 5 月 3 日 – ソフォスは、自動化されたコンポーネントと手動化されたコンポーネントの両方を活用する、新しい洗練されたランサムウェアグループについて報告しました。
「MegaCortex」ランサムウェアの分析:分析が進むにつれ謎が深まる
2019 年 5 月 10 日 – MegaCortex ランサムウェアのツール、手法、検出回避の戦術に関する、新たな情報を含む調査記事の続報を掲載しました。
Memento
パスワードで保護されたアーカイブを利用して暗号化対策を回避するランサムウェア攻撃集団「Memento Team」
2021 年 11 月 18 日 – ソフォスは、標的システムのデータを暗号化できない場合にパスワードで保護されたアーカイブによってファイルをコピーする、新しいランサムウェアグループ「Memento」に関するインシデントについて報告しました。
Midas
Midas ランサムウェア攻撃の下地として悪用される Windows サービス
2022 年 1 月 25 日 – ソフォスは、脆弱なリモートアクセスサービスと PowerShell スクリプトを広く使用するランサムウェア攻撃について報告しています。
Nefilim
「幽霊」アカウントをハッキングする Nefilim ランサムウェア攻撃
2021 年 1 月 26 日 – ソフォスは、退職した従業員のアカウント情報を使用して、攻撃者がターゲットにアクセスするインシデントについて報告しました。
Netwalker
Netwalker ランサムウェアツールから見えてくる攻撃者の正体
2020 年 5 月 27 日 – ソフォスは、大量のマルウェアと関連ファイルを発見した、Netwalker が使用した TTP (戦術、手法、手順) について詳しく説明しています。
ProLock
最初の 8 キロバイト分の復号を無料で提供する「ProLock」ランサムウェア
2020 年 7 月 27 日 – ソフォスは、この新しいランサムウェアの攻撃チェーンと TTP (戦術、手法、手順) について報告しています。
Python
ESXi サーバーを暗号化する Python ランサムウェアスクリプト
2021 年 10 月 5 日 – ソフォスは、仮想マシンのハイパーバイザー上で不正な Python スクリプトが仮装ディスクを暗号化し、標的組織全体の仮想マシンを無効化する、これまで見た中で最も素早く攻撃するランサムウェアの 1 つを報告しました。
RagnarLocker
セキュリティ回避のために仮想マシンを展開する「Ragnar Locker」ランサムウェア
2020 年 5 月 21 日 – ソフォスは、攻撃者がランサムウェアを視界から隠すために、標的となる各デバイス上に完全な仮想マシンを展開したインシデントについて報告しました。
Ragnarok
2021 年 5 月 21 日 – Sophos は、Asnarok の攻撃者がパッチ未適用のファイアウォールを介して、Ragnarok ランサムウェアを展開しようとした様子を報告しました。
REvil
2021 年 6 月 11 日 – ソフォスは、REvil RaaS のアフィリエイトの間で見られる、さまざまな TTP (戦術、手法、手順) を詳しく説明しています。
2021 年 6 月 30 日 – 特定のランサムウェアファミリーを含む攻撃の影響を受けている、IT 管理者を支援するために作成された記事シリーズの一部です。
独立記念日を狙って Kaseya のアップデートシステムを悪用し、数百社を攻撃したランサムウェア
2021 年 7 月 4 日 – ソフォスは、REvil のアフィリエイトが、Kaseya の VSA リモート管理サービスを攻撃する悪意のあるアップデートを使用し、暗号化と恐喝の両方を実行した攻撃について詳しく説明しました。
RobbinHood
環境寄生型ランサムウェア:攻撃先にある脆弱なドライバを利用してセキュリティソフトを削除する「RobbinHood」ランサムウェア
2020 年 2 月 6 日 – RobbinHood ランサムウェアを展開する前に、標的のコンピュータからセキュリティ製品を削除するために、正規のデジタル署名付きハードウェアドライバを展開する攻撃について、ソフォスは報告しました。
Ryuk
2020 年 10 月 14 日 – ソフォスは、セキュリティを侵害させランサムウェアを展開するためのツールを進化させた、Ryuk が復活したことを報告しました。
Sophos MTR 速報: 海賊版ソフトウェアが引き金となった Ryuk ランサムウェア攻撃
2021 年 5 月 6 日 – ソフォスは、海賊版ソフトウェアプログラムをダウンロードしたことで、攻撃者が研究機関のネットワークに侵入し、Ryuk ランサムウェアを展開したインシデントについて報告しました。
SamSam
ソフォス、ランサムウェア「SamSam」に関するレポートを公開
2018 年 7 月 31 日 – ソフォスは SamSam ランサムウェアに関する分析結果を公開しました。
SamSam ランサムウェアのような攻撃が起こる仕組みと対策
2018 年 11 月 29 日 – ソフォス、SamSam ランサムウェアの典型的な攻撃とその対策について詳しく説明しました。
Snatch
保護回避のために PC をセーフモードで再起動する Snatch ランサムウェア、
2019 年 12 月 9 日 – ソフォスは、攻撃の途中で Windows マシンを再起動することでセキュリティ保護を無効にする、データ窃取とランサムウェアの展開の両方を行う新しい脅威について報告しました。
WannaCry
2019 年 9 月 16 日 – ソフォスは、WannaCry ランサムウェアの発生から 2 年以上経った今でも、改変された WannaCry の亜種が IT 管理者とセキュリティアナリストを悩ませていることについて報告しました。
WastedLocker
他のランサムウェアの手法を模倣する「WastedLocker」ランサムウェア
2020 年 8 月 4 日 – ソフォスは、WastedLocker ランサムウェアがほとんどの操作をメモリ内で実行して検知を回避する手法など、Bitpaymer ランサムウェアと共通の特徴を有していることを報告しました。
追加資料
レポートと分析のまとめ
ランサムウェアの攻撃手法: 最も一般的で持続的なランサムウェアファミリーについて、防御側の組織が知っておくべきこと
ランサムウェアに関する知見・注意勧告のための記事
最も有害なランサムウェアはどのように IT セキュリティを回避するのか
ランサムウェアの実態: 攻撃が進行していることを示唆する5つの指標
ランサムウェアの実態: ランサムウェアが一過性のブームで終わらない理由
ランサムウェアの実態: 被害者の視点から見たランサムウェアの実態
ランサムウェアの実態: セキュリティ機能を回避するためのさまざまな手法