VirusTotal 調査:8,000万件のランサムウェアを分析してみた

VirusTotal Releases Ransomware Report Based on Analysis of 80 Million Samples

2021/10/14 TheHackerNews — 2020年から 2021年前半にかけて、イスラエル/中国/韓国/シンガポール/ベトナム/インド/カザフスタン/フィリピン/イラン/英国において、130種類ものランサムウェアが活動していたことが、8,000万件のランサムウェア関連サンプルの包括的な分析により明らかになった。

Google のサイバーセキュリティ部門である VirusTotal は、Ransomware-as-a-Service (RaaS) グループである GandCrab (78.5%) が、大部分の被害をもたらしていると分析している。それに続くのが、Babuk (7.61%)/Cerber (3.11%)/Matsnu (2.63%)/Wannacry (2.41%)/Congur (1.52%)/Locky (1.29%)/Teslacrypt (1.12%)/Rkor (1.11%)/Reveon (0.70%) となっている。

VirusTotal の Threat Intelligence Strategist である Vicente Diaz は、「攻撃者は、ランサムウェアを配信する手段として、有名なボットネットやリモートアクセストロージャン (RAT) などの、さまざまなアプローチを使用している。ほとんどの場合、彼ら自身のキャンペーンで、新しいランサムウェアのサンプルを使用している」と述べている

今回の調査で明らかになった、その他の重要なポイントは以下の通りである。

・2020年の Q1 と Q2 でがは、GandCrab がランサムウェア活動の大半を占め、2021年7月には Babuk ランサムウェア・ファミリーが感染を急増させた。

・検出されたランサムウェア・ファイルの 95% は、Windowsベースの実行ファイルまたは DLL であり、2%が Android ベースだった。

・分析されたサンプルの約5%が、Windows の特権昇格、SMB 情報の開示、リモート実行などのエクスプロイトに関連していた。

・Emotet/Zbot/Dridex/Gozi/Danabot は、ランサムウェアの配布に使用される主要なマルウェアである。

今回の調査結果は、重要インフラを狙ったランサムウェア攻撃が、絶え間なく続いていることを受けたものだ。サイバー犯罪者の集団は、パイプライン事業者や医療施設などの社会インフラを、執拗に追いかけている。その一方で、ランサムウェア・グループが進化/分裂/再編され、また、監視の目を逃れるために消えるなど、継続的な変化が見られる。

全体的なトレンドとしては、新しいマルウェア・ファミリーが爆発的に増加したことで、新たな脅威アクターが新たな儲け話に参入する、ランサムウェアが収益性の高い犯罪ビジネス・モデルとなってきた。

この報告書は、「大規模なキャンペーンが行われては消えていく一方で、約100種類のランサムウェア・ファミリーによる、ランサムウェア活動は絶え間なく続いている。ランサムウェアの配布に関しては、特権昇格と内部ネットワーク内でのマルウェアの拡散と除いて、攻撃者はエクスプロイトを必要としていないようだ」と述べている。

GandCrab について調べてみまたら、Who’s Behind the GandCrab Ransomware? という記事を見つけました。そして、この記事では、「KrebsOnSecurity は、このプログラムの新しいアフィリエイトの募集を担当したと思われる、ロシア人男性の実際のアイデンティティを示す多くの手がかりを見つけた」と指摘しています。また、Babuk 検索を行ったところ、このブログでも何本かの記事が見つかりました。よろしければ ご参照ください。

%d bloggers like this: