Ransomware – IoT OT Security News

ランサムウェア 2025 統計：追跡 Web サイト Ransomware.live と RansomLook は何を示す？

Top Ransomware Trends of 2025

2025/12/24 InfoSecurity — 2025年におけるランサムウェアの摘発や、サイバー犯罪対策に関連する法執行活動は、2024年と比べて大きく減少した。その一方で、強固に組織化されていないグループである Scattered Spider／Lapsus$／ShinyHunters などが、2025年のニュースの見出しを占めた。ただし、従来型のランサムウェア・シンジケートも、年間を通じて活動を継続している。

主要ランサムウェアが同盟：DragonForce／Qilin／LockBit が犯罪エコシステムを再編

New Research Uncovers the Alliance Between Qilin, DragonForce and LockBit

2025/12/19 CyberSecurityNews — ３つの主要ランサムウェア・グループが連携を発表した。サイバー・セキュリティ専門家は、これを犯罪アンダーグラウンドにおいて最も懸念される動向の一つと指摘している。2025年9月15日、ランサムウェア・グループ DragonForce は、ロシアのアンダーグラウンド・フォーラムへの投稿を通じて、DragonForce／Qilin／LockBit による同盟 (カルテル) の結成を発表した。この連合は、近年、国際的な法執行機関の圧力により複数の主要ランサムウェア組織が壊滅的な打撃を受けた状況に対する戦略的対応であり、エコシステムが直面する課題に対処する目的で結成されたと明記されている。

Gladinet CentreStack の脆弱性 CVE-2025-11371／14611：Clop ランサムウェアによる悪用を確認

Clop Ransomware Group Exploiting Gladinet CentreStack Servers to Steal Data

2025/12/19 CyberSecurityNews — Clop ランサムウェア・グループが開始した新たなデータ恐喝キャンペーンは、インターネットに接続された Gladinet CentreStack ファイル・サーバを標的とするものだ。この攻撃は、ファイル転送ソリューションを標的とした新たな侵害パターンであり、脅威アクターによる手口の巧妙化を示している。このキャンペーンでは、Gladinet の CentreStack／Triofox に存在する複数のセキュリティ脆弱性が悪用されているようだ。その中には、最近になって発見された脆弱性も含まれ、それを悪用する攻撃者による、企業の機密データへの不正アクセスが可能になっているようだ。

Askul におけるデータ侵害が報告される：約 70万件のデータ漏洩とRansomHouse の主張

Askul data breach exposed over 700,000 records after ransomware attack

2025/12/17 SecurityAffairs — Askul が発表したのは、10月19日にランサムウェア攻撃を検知したこと、および、この攻撃を実行した脅威アクターが、同社のインフラにアクセスして機密データを窃取したという事実である。Askul は、企業／消費者向けにオフィス用品／文房具／IT 機器／日用品などを供給する日本の e コマースおよび物流企業であり、日本全国で大規模な受注／配送サービスを運営している。同社は、LOHACO を運営し、Yahoo! JAPAN エコシステムの一員でもある。

LLM 時代のランサムウェア進化：AI 悪用による攻撃ライフサイクルの短縮など

LLM-Driven Automation: A New Catalyst for Ransomware and RaaS Ecosystems

2025/12/16 gbhackers — LLM のランサムウェア・エコシステムへの統合に関する包括的な評価を、SentinelLABS が発表した。現時点では、AI により戦術が根本的に変革された状況は確認されていないが、運用ライフサイクルは著しく加速していると、このレポートは結論付けている。この調査が示しているのは、測定可能なメトリクスである攻撃速度／攻撃量／多言語対応の向上が、低スキル攻撃者の参入障壁を引き下げると同時に、既存グループのワークフローを最適化することで、脅威環境を再形成している点である。

Akira が標的にする Hyper-V と ESXi：3% から 25% に急増した攻撃試行

Akira Group Targets Hyper-V and VMware ESXi with Ransomware Exploiting Vulnerabilities

2025/12/09 gbhackers — 現代の企業 IT において、目に見えないバックボーンとして機能しているハイパーバイザーが、ランサムウェア集団の新たな主戦場となっている。Huntress の最新データによると、ランサムウェアを仕掛ける下準備として、ハイパーバイザーを標的とする攻撃が 2025 年後半に急増している。

Asahi が認めた顧客データ 150万人分の流失：Qilin ランサムウェアが犯行を主張

Asahi Confirms 1.5 Million Customers Affected in Major Cyber-Attack

2025/11/27 InfoSecurity — 2025年9月に大規模なサイバー攻撃を受けたビール大手の Asahi Beer は、約 200万人分の個人情報が漏洩した可能性があると発表した。11月27日に発表した新たな報告で述べられたのは、9月と10月の一時的な操業停止につながった、サイバー攻撃に関する調査の初期結果である。

Canon に Clop ランサムウェア攻撃：広がる Oracle EBS ハッキング・キャンペーンの被害者

Canon Says Subsidiary Impacted by Oracle EBS Hack

2025/11/25 SecurityWeek — 画像／光学の大手である Canon が認めたのは、最近の Oracle E-Business Suite (EBS) ハッキング攻撃の標的となったことだ。ただし、調査の結果として、この攻撃は Canon USA の子会社に限定されていることが判明したと、同社は声明で述べている。Canon は、「この攻撃が影響を与えた範囲は Web サーバのみであり、すでにセキュリティ対策を講じ、サービスを再開した。他への影響がないことを確認するために、引き続き調査を進めている」と述べている。

Akira ランサムウェアの活動が急拡大：Nutanix 仮想マシンの標的化と重要インフラの侵害

Akira RaaS Targets Nutanix VMs, Threatens Critical Orgs

2025/11/15 DarkReading — 複数の米欧政府機関が公表したのは、最近の Akira ランサムウェアの活動が、重要インフラに差し迫った脅威を及ぼしているという警告である。その一方で、大半のサイバー犯罪グループと同様に、Akira Ransomware-as-a-Service (RaaS) は中小企業 (SMB) を標的にする傾向がある。また、医療／製造／農業といった重要分野の大企業も標的としている。

Oracle EBS のゼロデイ CVE-2025-61882 を悪用：Clop ランサムウェアが Entrust 侵害を主張

Clop Ransomware Group Allegedly Claims Breach of Entrust in Oracle 0-Day EBS Hack

2025/11/14 CyberSecurityNews — デジタル・セキュリティ企業 Entrust への侵入を、悪名高い Clop ランサムウェア・グループが主張している。この攻撃で悪用されたのは、Oracle E-Business Suite (EBS) の深刻なゼロデイ脆弱性 CVE-2025-61882 であり、Oracle のエンタープライズ・ソフトウェアを利用する組織を標的にした、Clop の継続的な攻撃の姿勢を示している。

RDP 認証情報を悪用：Cephalus ランサムウェアを展開する脅威アクターの手口とは？

Threat Actors Leveraging RDP Credentials to Deploy Cephalus Ransomware

2025/11/08 CyberSecurityNews — Cephalus という新たなランサムウェア・グループが、Remote Desktop Protocol (RDP) インフラのセキュリティ上の欠陥を悪用し、持続的かつ金銭目的の脅威をもたらしていることを、2025年6月中旬に AhnLab の研究者が確認した。このグループは盗み出した RDP の認証情報を悪用し、ネットワークに侵入して強力な暗号化攻撃を展開し、世界中の組織に重大な脅威を与えているという。

VS Code エクステンションを悪用する Kimsuky：ランサムウェアと永続化のためのキャンペーンとは？

Threat Actors May Abuse VS Code Extensions to Deploy Ransomware and Use GitHub as C2 Server

2025/11/07 CyberSecurityNews — 開発者向けエクステンションを感染経路として悪用する北朝鮮の脅威アクターが、その攻撃戦略を進化させている。最近のセキュリティ調査によると、2012年から活動する国家支援グループ Kimsuky は、 JavaScript ベースのマルウェアを用いてシステムに侵入し、永続的な Command-and-Control (C2) インフラを構築しているという。これまでの攻撃は、政府機関／シンクタンク／専門家を標的とする活動に集中していたが、今回のキャンペーンが示すのは、技術力の拡大とサプライチェーン攻撃の高度化である。

Clop ランサムウェア：判明した Oracle EBS の脆弱性 CVE-2025-61882 の積極的な悪用

Clop Ransomware Group Exploits New 0-Day Vulnerabilities in Active Attacks

2025/11/05 gbhackers — Clop ランサムウェア・グループが、世界中の企業組織に対して深刻な脅威をもたらしている。Ravenfile の最新調査により明らかになったのは、Oracle E-Business Suite の深刻なゼロデイ脆弱性を悪用していることだ。2019 年初頭から活動している Clop は、最も活発かつ高度なランサムウェア集団の一つとして確固たる地位を築いており、活動が開始されてから 1,025件を超える組織を標的とし、$500 million 以上の金銭を脅し取っている。

Akira ランサムウェアによる Apache OpenOffice 侵害：23GB の機密データ流出の主張とは？

Akira Ransomware Allegedly Claims Theft of 23GB in Apache OpenOffice Breach

2025/11/01 CyberSecurityNews — Akira ランサムウェア・グループが発表したのは、2025年10月29日に Apache OpenOffice のシステムへの侵入に成功し、23GB の機密性の高い企業データを盗み出したという主張である。強硬な二重恐喝戦術で知られる同グループは、ダークウェブ上のリークサイトに詳細を掲載し、身代金が支払われない限り情報を公開すると脅迫している。このインシデントが浮き彫りにするのは、高度なサイバー脅威が蔓延する時代においては、非営利ソフトウェア財団でさえ深刻なリスクに直面するという現実である。

Qilin ランサムウェアの攻撃手法を分析：MS ペイント／メモ帳の悪用による情報窃取と二重恐喝

Qilin Ransomware Exploits MSPaint and Notepad to Locate Sensitive Files

2025/10/27 gbhackers — 2025年後半に Qilin (旧称 Agenda) ランサムウェア・グループは、ファイル暗号化と公開データ漏洩の二重恐喝戦略を軸とする攻撃キャンペーンにより、製造／科学サービス／卸売などの業種を中心に毎月 40件以上の被害者情報を公開し、世界で最も影響力のあるランサムウェア集団の一つに躍り出た。

無印良品に影響を及ぼしたサプライチェーン攻撃：オンラインストアなどに影響

Retail giant Muji halts online sales after ransomware attack on supplier

2025/10/20 BleepingComputer — 日本の小売企業 Muji が発表したのは、配送パートナーの Askul が受けたランサムウェア攻撃が原因となり、オンライン・ストアが停止したという声明である。日本時間の 10月19日 (日) に Muji は、「すべての小売サービスにおいて、オンラインストアでの閲覧と購入／アプリを介した注文履歴の確認／一部の Web コンテンツの表示などに問題が生じている」と発表した。

Qilin ランサムウェアと BPH の共存：Asahi Group を混乱させた破壊力の背景とは？

Qilin Ransomware Leverages Ghost Bulletproof Hosting for Global Attacks

2025/10/16 gbhackers — 活発化し続ける RaaS (ransomware-as-a-service) である Qilin ランサムウェアが、防弾ホスティング (BPH：bulletproof hosting) プロバイダーの秘密ネットワークに依存することで、世界的な恐喝キャンペーンを強化している。多くのケースにおいて、これらの不正ホスティング・サービス企業は、地政学的に法執行や規制の及びにくい区域に本社を置き、複雑なダミー会社の構造を介して運営されている。したがって、Qilin の運営者やアフィリエイトは罰せられることもなく、マルウェア／データ漏洩サイト／C2 (Command and Control) インフラをホスティングできている。

SonicWall SSL VPN の脆弱性 CVE-2024-40766：Akira ランサムウェアが攻撃

SonicWall SSL VPN Devices Targeted by Threat Actors to Distribute Akira Ransomware

2025/10/10 gbhackers — SonicWall SSL VPN のパッチ未適用のデバイスを悪用する Akira ランサムウェア攻撃の急増が、2025年7月から8月にかけて確認されている。すでにパッチがリリースされているが、数多くの組織が依然として脆弱な状態にあり、脅威アクターによる初期アクセスの取得と、Akira の二重脅迫スキームの実行が懸念されている。2025年8月20日に Darktrace が検出したのは、米国の顧客ネットワークにおける異常なネットワーク・スキャンと偵察活動である。

GoAnywhere の脆弱性 CVE-2025-10035 を悪用：Medusa ランサムウェア攻撃を Microsoft が検知

Microsoft: Critical GoAnywhere bug exploited in ransomware attacks

2025/10/06 BleepingComputer — GoAnywhere MFT の深刻な脆弱性を積極的に悪用するサイバー犯罪グループ Storm-1175 が、約１ヶ月間にわたって Medusa ランサムウェア攻撃を仕掛けている。この脆弱性 CVE-2025-10035 は、Web ベースのセキュア転送ツール GoAnywhere MFT に存在し、License Servlet における信頼できないデータのデシリアライズの欠陥に起因するものだ。ユーザーの操作を必要としない複雑性の低い攻撃により、この脆弱性がリモートから悪用される可能性がある。

SonicWall ファイアウォールを標的とする攻撃：Akira ランサムウェアによるログイン試行を分析

Cybercriminals Target SonicWall Firewalls to Deploy Akira Ransomware via Malicious Login Attempts

2025/09/29 gbhackers — 侵害済の SonicWall SSL VPN 認証情報を悪用して、４時間以内に Akira を拡散させるという迅速な攻撃に、セキュリティ・チームは直面している。それは、同種の脅威として最短の滞留時間の記録である。この攻撃では、認証が成功 (多くはホスティング関連 ASN からの発信) した後の数分でポートスキャンが始まり、Impacket SMB ツールを悪用する探索が行われ、多様な環境に Akira が展開される。

Oracle Database Scheduler の悪用：脅威アクターによるランサムウェア展開とネットワーク侵入

Threat Actors Exploit Oracle Database Scheduler to Infiltrate Corporate Networks

2025/09/22 gbhackers — Oracle Database Scheduler の外部ジョブ機能を悪用する脅威アクターが、企業のデータベース・サーバ上で任意のコマンドを実行している。それにより、ステルス性の高い初期攻撃の足掛かりが確立され、迅速な権限昇格を可能にする。攻撃者は “extjobo.exe” 実行ファイルを利用して、エンコードされた PowerShell コマンドの実行、Ngrok による暗号化トンネルの確立、ランサムウェアの展開を行い、強力なクリーンアップ・ルーチンにより検出を回避している。最近のインシデント対応で確認されたのは、SYS ユーザーとして繰り返し接続を試みる攻撃者が、公開されている Oracle Database インスタンスを標的としていたことだ。

AI 搭載マルウェア MalTerminal の発見：GPT-4 を悪用してランサムウェアを生成

First-ever AI-powered ‘MalTerminal’ Malware Uses OpenAI GPT-4 to Generate Ransomware Code

2025/09/20 CyberSecurityNews — MalTerminal と呼ばれる AI 搭載マルウェアは、OpenAI の GPT-4 モデルを悪用することでランサムウェアやリバースシェルなどのコードを動的に生成し、脅威の開発と展開の方法に重大な変化をもたらしている。この発見は、AI 搭載マルウェア PromptLock の分析に続くものであり、攻撃者が大規模言語モデル (LLM) を武器化する明確な傾向を示している。

OpenAI を悪用するランサムウェア PromptLock：標的のシステム上で攻撃用の Lua スクリプトを作成

First AI Ransomware ‘PromptLock’ Uses OpenAI gpt-oss-20b Model for Encryption

2025/08/26 CyberSecurityNews — 新たなランサムウェアが確認された。どのようなものかと言うと、ローカル AI モデルを介して悪意のコンポーネントを生成するものであり、史上初のランサムウェアの種類であると考えられている。ESET Research Team により “PromptLock” と名付けられたマルウェアは、Ollama API を介して OpenAI の gpt-oss:20b モデルを利用し、攻撃チェーン用のカスタム・クロス・プラットフォーム Lua スクリプトを作成する。

VMware ESXi へのランサムウェア攻撃を検知／防止：Splunk がリリースするセキュリティ・ガイドとは？

Splunk Release Guide for Defenders to Detect Suspicious Activity Before ESXi Ransomware Attack

2025/08/14 CyberSecurityNews — VMware ESXi インフラを標的とする攻撃を検知し、ランサムウェアによる壊滅的な被害を引き起こされる前に防御するための、詳細なセキュリティ・ガイドが、Splunk からサイバー・セキュリティ・チームに対して公開された。このガイドは、VMware の ESXi ハイパーバイザー・システムに対する、脅威の高まりに対応するために作成されたものだ。これらの標的とされるシステムは、集中管理されたシステムであり、多くの場合において監視が不十分であり、サイバー犯罪者たちの主要なターゲットとなっている。

SonicWall VPN を標的とする攻撃：Akira ランサムウェアが用いる BYOVD 手法を解析

Akira Ransomware Uses Windows Drivers to Bypass AV/EDR in SonicWall Attacks

2025/08/06 CyberSecurityNews — 先日に発見された SonicWall VPN を標的とする攻撃キャンペーンにおいて、脅威アクターたちは Windows ドライバを悪用し、Anti-Virus／EDR システムを回避しているという。この攻撃は 2025年7月下旬から8月上旬にかけてエスカレートしており、侵害後の持続性確保と検出回避のために、脅威アクターが戦術を高度化させている実態を示している。

Microsoft SharePoint の脆弱性悪用が拡大：4L4MD4R ランサムウェアによる侵害を確認

Ransomware gangs join attacks targeting Microsoft SharePoint servers

2025/08/04 BleepingComputer — Microsoft SharePoint の脆弱性を狙う継続的な攻撃に、ランサムウェア・グループが加わった。この攻撃は、広範なエクスプロイト・キャンペーンの一環とされるものであり、世界中で少なくとも 148 の組織が被害を受けている。SharePoint に対するエクスプロイト・チェーン ToolShell に関連する複数のインシデントを分析する中で、Palo Alto Networks の Unit 42 に所属するセキュリティ研究者たちが確認したのは、オープンソースの Mauri870 コードに基づく 4L4MD4R ランサムウェアの亜種である。

SonicWall Firewall の未知のゼロデイが狙われている：Akira ランサムウェアによる侵害の拡大とは？

SonicWall Firewall Devices 0-day Vulnerability Actively Exploited by Akira Ransomware

2025/08/02 CyberSecurityNews — SonicWallファイアウォール・デバイスに存在すると推定されるゼロデイ脆弱性を、Akira ランサムウェアグループが積極的に悪用しているようだ。この脆弱性を悪用する攻撃者は、SonicWall の SSL VPN 機能を介して企業ネットワークへの初期アクセスを取得し、その後にランサムウェアを展開することが可能となる。2025年7月下旬にセキュリティ研究者たちが確認したのは、SonicWall デバイスを悪用するランサムウェア攻撃の大幅な増加である。既知の脆弱性に対するパッチが完全に適用されていても、ファイアウォールへの侵入が成功した事例が存在するため、ゼロデイ脆弱性の存在が示唆される状況になっている。

SharePoint の脆弱性 CVE-2025-53770：ToolShell チェーンによるランサムウェア展開を確認

Ransomware Deployed in Compromised SharePoint Servers

2025/07/24 InfoSecurity — Microsoft SharePoint の脆弱性を悪用する、中国を拠点とする脅威アクターが、侵害済のシステムにランサムウェアを展開していることが確認されている。7月23日のインシデント・アップデートにおいて、Microsoft が明らかにしたのは、Storm-2603 として追跡している脅威グループが、オンプレミスの SharePoint サーバを悪用し、Warlock ランサムウェアを配布している状況である。それに加えて Microsoft は、影響を受ける可能性のある組織に対して、ランサムウェア対策を取り込んだ緩和策の拡充を勧告している。

2025 Q1 ランサムウェア調査：サプライチェーンを介して倍増した被害者と Cl0p の台頭

213% Increase in Ransomware Attacks Targeting Organizations With First Quarter of 2025

2025/07/03 CyberSecurityNews —2025年 Q1 のランサムウェア攻撃が、前例のない急増を見せている。Optiv の調査によると、74 箇所のデータ漏洩サイトに記載された 2,314件の被害者は、前年同期の 1,086件と比べて 213% の増加となっている。この急激な増加は、2024年の横ばいとも言えるランサムウェア動向から、大きく乖離するものである。2024年のランサムウェア攻撃の特徴は、被害者を増やすキャンペーンよりも、高価値の被害者に標的を絞り込むところにあったようだ。

Qilin ランサムウェア：FortiGate の脆弱性 CVE-2024-21762／55591 を悪用

Attackers exploit Fortinet flaws to deploy Qilin ransomware

2025/06/06 SecurityAffairs — 2025年5月〜6月に Qilinランサムウェア (別名 Phantom Mantis) グループが、FortiGate の脆弱性 CVE-2024-21762／CVE-2024-55591 などを悪用し、複数の組織を標的にしていると、脅威インテリジェンス企業 PRODAFT が警告している。同社が発表したレポートには、「Phantom Mantis は、2025年5月から6月にかけて、複数の組織を標的とする組織的な侵入キャンペーンを展開している。イニシャル・アクセスで悪用されるのは、FortiGate の脆弱性 CVE-2024-21762／CVE-2024-55591 などである」と記載されている。

Play ランサムウェアの現状：2022 年からの３年間で 900の組織を攻撃 – FBI／CISA

Play ransomware group hit 900 organizations since 2022

2025/06/06 SecurityAffairs — 米国の FBI および CISA とオーストラリア ASD 傘下の ACSC (Australian Cyber Security Centre) による共同勧告によると、これまでの３年間において Play ランサムウェアは約 900もの組織を攻撃したとのことだ。2022年6月から活動を開始した Play ランサムウェア・グループだが、その被害者リストには、オークランド市／Rackspace／オランダの海上物流会社 Royal Dirkzwager などが含まれている。

Craft CMS の脆弱性 CVE-2025-32432：暗号通貨マイナーやランサムウェア展開で悪用

Hackers Exploit Craft CMS Vulnerability to Inject Cryptocurrency Miner Malware

2025/05/27 gbhackers — Craft Content Management System (CMS) に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-32432 を、脅威アクターたちが悪用しているという。この脆弱性は、2025年2月中旬に Orange Cyberdefense により発見され、その後の 2025年4月25日に公開されたものだ。認証を必要としないため、深刻度を表す CVSS スコア 10.0 と評価されている。

DragonForce ランサムウェア：MSP が展開する SimpleHelp の脆弱性を侵害して顧客に到達

DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities

2025/05/27 SecurityWeek — マルウェア対策企業 Sophos の警告によると、SimpleHelp インスタンスの脆弱性を悪用する攻撃者により、身元不明の MSP (managed service provider) と顧客が侵害され、DragonForceランサムウェアに感染したようだ。このランサムウェア攻撃者は、イニシャル・アクセスのために、リモート監視および管理 (RMM：remote monitoring and management) ソフトウェアの３つの脆弱性を連鎖的に利用したと、Sophos は考えている。

DragonForce が RansomHub を敵対的買収？サイバー犯罪グループ間の抗争が激化

DragonForce Engages in “Turf War” for Ransomware Dominance

2025/05/23 InfoSecurity — サイバー犯罪市場における優位性を確立しようとする DragonForce が、ライバルのランサムウェア・オペレーターとの縄張り争いを繰り広げていることが、Sophos の最新調査により明らかになった。2025年3月下旬に RansomHub のインフラが停止した事件にも、この DragonForce が関与している模様だ。この事件は、４月のランサムウェア攻撃件数の大幅な減少に貢献した。この件は、DragonForce から RansomHub に対する、敵対的買収の試みの結果だとも言われている。

SAP NetWeaver の脆弱性 CVE-2025-31324：Qilin ランサムウェアが積極的に悪用か？

SAP NetWeaver RCE: Zero-Day Allows File Uploads, Qilin Ransomware Connection

2025/05/20 SecurityOnline — SAP NetWeaver Visual Composer の深刻な脆弱性 CVE-2025-31324 (CVSS：10) が、情報公開の数週前の時点で、実際に悪用されていたことが、OP Innovate の調査により明らかになった。この脆弱性の悪用については、情報公開後に発生したと考えられていたが、OP Innovate のインシデント対応レポートが、それを覆した。具体的に言うと、ロシア語圏の Ransomware-as-a-Service (RaaS) グループである Qilin が、この攻撃に関与した可能性があるという。

Skitnet という多段型インフォ・スティーラーに注意：ステルス性を備え Black Basta ランサムウェアなどを配信

Ransomware Gangs Use Skitnet Malware for Stealthy Data Theft and Remote Access

2025/05/19 TheHackerNews — Skitnetと呼ばれるマルウェアを、ポスト・エクスプロイトで使用する複数のランサムウェア・グループが、機密データを窃取し、侵害したホストをリモート制御しようとしている。スイスのサイバー・セキュリティ企業 PRODAFT は、「Skitnet は、RAMP などのアンダーグラウンド・フォーラムで、2024年4月から販売されている。さらに、2025年の初頭以降においては、複数のランサムウェア攻撃者が、実際の攻撃で Skitnet を使用しているのを確認している」と、The Hacker News に述べている。

Microsoft CLFS の脆弱性 CVE-2025-29824：ランサムウェア攻撃での積極的な悪用を観測

Zero-Day CLFS Vulnerability (CVE-2025-29824) Exploited in Ransomware Attacks

2025/05/07 SecurityOnline — Microsoft の Common Log File System (CLFS) ドライバに存在する、ゼロデイの権限昇格の脆弱性 CVE-2025-29824 を悪用する高度な攻撃を、Symantec の Threat Hunter Team が発見した。この脆弱性を積極的に悪用するのは、Play ランサムウェア (PlayCrypt) を背後で操る、脅威グループ Balloonfly である。2025年4月8日の時点で、脆弱性 CVE-2025-29824 には公式パッチがリリースされているが、それに先行して、この活動は発生していた。

Hitachi Vantara がシャットダウン：Akira ランサムウェアによる攻撃の可能性

Hitachi Vantara takes servers offline after Akira ransomware attack

2025/04/28 BleepingComputer — 日本の日立製作所の子会社 Hitachi Vantara だが、４月の最後の週末にかけて、Akira ランサムウェア攻撃を封じ込めるために、サーバのオフライン化を余儀なくされたようだ。同社は、政府機関に加えて、BMW／Telefonica／T-Mobile／China Telecom などの世界有数の企業に対して、データ・ストレージ／インフラ・システム／クラウド管理／ランサムウェア復旧サービスを提供している。

Booking.com を装うフィッシング詐欺：偽の CAPTCHA を使用して AsyncRAT を展開

Booking.com Phishing Scam Uses Fake CAPTCHA to Install AsyncRAT

2025/04/21 HackRead — 偽の Booking.com メールを使用してホテルのスタッフを狙う、新たなフィッシング・キャンペーンが確認された。この攻撃はソーシャル・エンジニアリングを巧みに利用し、被害者自身のシステム上で悪意のコマンドを実行させ、最終的にホテルのネットワークを AsyncRAT に感染させ、さらなる侵害の拡大を目的とするものだ。

IAB たちの戦術転換：イニシャル・アクセスの低価格／大量販売で攻撃を加速 – Check Point 調査

Initial Access Brokers Shift Tactics, Selling More for Less

2025/04/11 TheHackerNews — アンダーグラウンド市場の仲介業者であるイニシャル・アクセス・ブローカー (IAB：Initial Access Broker) は、コンピュータ・システムやネットワークへの不正侵入を専門とし、そのアクセス権を他のサイバー犯罪者に販売することで利益を得ている。この“役割分担”により、IAB はソーシャル・エンジニアリングやブルートフォース攻撃などの手法を使った脆弱性の悪用という、自身の本業に専念できるというわけだ。

Windows CLFS の脆弱性 CVE-2025-29824：PipeMagic RAT を介したランサムウェア攻撃で悪用

PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware

2025/04/09 TheHackerNews — Microsoft が明らかにしたのは、Windows Common Log File System (CLFS) に影響を及ぼす、すでに修正済みのセキュリティ脆弱性を、ゼロデイとして悪用するランサムウェア・グループが、標的を絞り込んだ攻撃を仕掛けていることだ。同社は、「この標的には、米国の IT 分野および不動産業界や、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが含まれる」と述べている。

Microsoft 2025-04 月例アップデート：１件のゼロデイを含む 134件の脆弱性に対応

Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws

2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性１件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。

Raspberry Robin マルウェアの C2 ドメイン約 200件を特定：ロシアとの関係と EU 経由での拡散

Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker

2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名：Roshtyak／Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB：initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。

CISA KEV 警告 25/03/18：Fortinet の CVE-2025-24472 と GitHub の CVE-2025-30066 を登録

Cybersecurity Alert: CISA Adds Fortinet and GitHub Action Vulnerabilities to Exploited List

2025/03/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２つの深刻なセキュリティ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、実際に悪用されていることを示した。これらの脆弱性は、広く使用されている Fortinet の FortiOS／FortiProxy および、GitHub Action “tj-actions/changed-files” に影響を及ぼすものだ。

Akira ランサムウェアに対する複合ツール：GPU を用いて暗号化キーにブルートフォースを仕掛ける

New Akira ransomware decryptor cracks encryptions keys using GPUs

2025/03/15 BleepingComputer — Akira ランサムウェアの Linux 版に対する復号ツールが、セキュリティ研究者の Yohanes Nugroho によりリリースされた。この無料のツールは、GPU パワーを利用して復号キーを取得し、ファイルのロックを解除する。Nugroho は、友人から助けを求められ、この復号ツールを開発することになった。Akira が暗号化キーを生成する方法に、つまり、タイムスタンプを用いる方法を分析すれば、１週間以内で暗号化されたシステムを復号できると判断したのだ。

Fortinet Firewall の脆弱性 CVE-2024-55591／CVE-2025-24472 を悪用：SuperBlack の手口とは？

SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks

2025/03/14 SecurityAffairs — Fortinet の２つの脆弱性を悪用し、SuperBlack ランサムウェアを展開する脅威アクターの活動を、2025年1月〜3月に Forescout Research – Vedere Labs の研究者たちが観察した。この攻撃では、ロシア語のアーティファクトが用いられ、独自の運用シグネチャである Mora_001 を示すとおり、この脅威アクターによるものだと、専門家たちは考えている。Mora_001 が LockBit エコシステムに関連している可能性があると、専門家たちは推測している。つまり、ランサムウェア・オペレーションの、複雑さが増していることを反映している。

Black Basta が開発した BRUTED Framework：ブルートフォース攻撃の最適化と自動化

Ransomware gang creates tool to automate VPN brute-force attacks

2025/03/14 BleepingComputer — Black Basta ランサムウェアは、ブルートフォース攻撃を自動化するフレームワーク “BRUTED” を使用し、ファイアウォールや VPN などのエッジ・ネットワーク・デバイスを標的にしている。このグループは、独自に開発した BRUTED により、効果的にネットワークへのイニシャル・アクセスを獲得し、インターネット上に公開された脆弱なエンドポイントへのランサムウェア攻撃を拡大させている。流出した Black Basta の内部チャット・ログを、EclecticIQ の研究者である Arda Buyukkaya が詳細に分析した結果により、この BRUTED の存在が明らかになったという。

DeepSeek R1 とジェイルブレイク：マルウェア生成の能力を試してみた – Tenable 調査

AI Chatbot DeepSeek R1 Can Be Manipulated to Create Malware

2025/03/14 HackRead — オープンソースの AI チャットボットである DeepSeek R1 は、キーロガーやランサムウェアなどの悪意のソフトウェアを、その操作に応じて生成し得ることが、サイバーセキュリティ企業 Tenable Research の新たな分析により明らかになった。Tenable Research の調査は、DeepSeek における有害なコードの生成能力の評価を目的として行われたものであり、２種類の主要なマルウェア・タイプに焦点を当てるものとなっている。具体的には、秘密裏にキー・ストロークを記録するキーロガーと、ファイルを暗号化して身代金を要求するランサムウェアである。

Akira ランサムウェアの検出回避術が判明：ネットワーク上の Web カメラを使って EDR をバイパス

Akira ransomware encrypted network from a webcam to bypass EDR

2025/03/06 BleepingComputer — Akira ランサムウェア・ギャングが用いる検出回避の手法は、被害者のネットワークに暗号化攻撃を仕掛けるために、セキュリティ保護が行われない Web カメラの悪用にあることが判明した。それにより、Windows 環境における暗号化機能をブロックする Endpoint Detection and Response (EDR) を、効果的に回避している状況が発見された。

Paragon の脆弱性 CVE-2025-0289 などが FIX：BYOVD を用いるランサムウェア攻撃を確認

CVE-2025-0289: Paragon Partition Manager Flaw Exploited in BYOVD Ransomware Attacks

2025/03/03 SecurityOnline — Paragon Partition Manager の BioNTdrv.sys ドライバーに存在する、深刻な脆弱性のクラスターがランサムウェア攻撃で積極的に悪用されていると、先日の CERT/CC 脆弱性ノートが警告している。この脅威アクターは、BYOVD (Bring Your Own Vulnerable Driver) の手口により、システム・レベルへの権限昇格を実現しているという。