2024年04月20日 22時54分セキュリティ

「初心者でも扱える安価なランサムウェア」がダークウェブで大量に出回っている

ランサムウェアを用いたサイバー攻撃のニュースでは「国家の支援を受けた犯罪グループ」など高度な専門地域を有した者による犯行が報じられがちです。しかし、セキュリティ企業「Sophos」の調査では「初心者でも扱える安価なランサムウェア」が大量に出回っていることが明らかになっています。

‘Junk gun’ ransomware: Peashooters can still pack a punch – Sophos News
https://news.sophos.com/en-us/2024/04/17/junk-gun-ransomware-peashooters-can-still-pack-a-punch/

ランサムウェアを用いた攻撃は、「ランサムウェアの開発者が攻撃も実行する」というパターンと、「別の開発者からランサムウェアを購入して攻撃を実行する」というパターンがあります。ランサムウェアの販売形態はさまざまですが、近年の主流は「ランサムウェア攻撃で入手した身代金の一部を料金として支払う」という「Ransomware as a Service Explained(RaaS)」という販売形態が広がりつつあります。

しかし、Sophosが「スキルの低い犯罪グループ」が集まるダークウェブフォーラムを調査した結果、低スキル犯罪グループの多くが「買い切り型の安価なランサムウェア」を購入していることが判明しました。これらの安価なランサムウェアの中には欠陥が含まれるものや、攻撃者自身に被害を及ぼすバックドアが仕込まれているものも存在するとのこと。このため、Sophosは低スキル犯罪グループが購入するタイプの安価なランサムウェアを安価かつ粗悪な銃(ジャンクガン)に例えて「ジャンクガンランサムウェア」と呼称しています。

Sophosは2023年6月～2024年2月に4つのフォーラムで合計19種類のジャンクガンランサムウェアを発見。その中にはオープンソースで開発されている無料のものや、数十ドル(数千円)の安価なものも含まれていました。Sophosが発見したジャンクガンランサムウェアの情報は以下の通り。

名称	投稿時期	状態	価格	使用言語
CatLogs	2023年12月	販売中	不明	.NET
名称不明	2023年11月	開発中	-	C#
Custom RaaS	2023年7月	販売中	200ドル	不明
Diablo	2024年1月	販売中	月額50ドル	不明
Evil Extractor	2023年12月	販売中	月額99～199ドル	不明
HardShield	2023年9月	オープンソース	無料	C++
Jigsaw	2023年6月	販売中	500ドル	.NET
Kryptina	2023年12月	販売中	シングルビルド：20ドルソースコード：800ドル	C
Lolicrypt	2023年8月	販売中	1000ドル	不明
Loni	2023年7月	販売中	月額999ドル買い切り9999ドル	C
Nevermore	2023年10月	販売中	250ドル	C#
RansomTuga	2023年6月	オープンソース	無料	C++
Yasmha	2024年2月	販売中	500ドル	C#
Ergon	2023年9月	販売中	1コンパイル：0.5BTC ソースコード：2.5BTC	不明
名称不明	2023年9月	開発中	-	Gi
名称不明	2023年7月	販売中	1000ドル	C++
名称不明	2024年1月	販売中	60ドル	不明
名称不明	2024年2月	販売中	50ドル	Python
名称不明	2023年6月	販売中	500ドル	不明

Sophosによると著名なランサムウェアの多くが洗練されたロゴやインターフェースを使用しているのに対して、ジャンクガンランサムウェアは「粗雑で素人っぽいロゴやインターフェース」が使われていたとのこと。例えば、以下はLolicryptが使っているロゴです。

また、Sophosによると、著名なランサムウェアはRustやGoでの開発に移行しつつあるとのこと。Sophosは「ジャンクガンランサムウェアはC＃や.NETといった学習が比較的容易な言語で開発されている」と指摘し、ジャンクガンランサムウェアが比較的経験の浅いプログラマによって開発されていると推測しています。

この記事のタイトルとURLをコピーする

・関連コンテンツ

2024年04月20日 22時54分00秒 in ソフトウェア, セキュリティ, Posted by log1o_hf