わずか5カ月で総額27億円をゆすり取ったランサムウェア「NetWalker」の被害が拡大

2019年8月に初めて検出されたランサムウェア「NetWalker」が2020年3月に入ってから急増し、2020年3月から2020年8月までのわずか5カ月間で被害総額がおよそ2500万ドル(約27億円)に達したとIT系セキュリティ企業McAfeeが報告しました。

Take a "NetWalk" on the Wild Side | McAfee Blogs
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/take-a-netwalk-on-the-wild-side

NetWalker ransomware gang has made $25 million since March 2020 | ZDNet
https://www.zdnet.com/article/netwalker-ransomware-gang-has-made-25-million-since-march-2020/

NetWalkerは2019年8月に初めて検出されたランサムウェアです。初期のバージョンでは「Mailto」と名付けられていましたが、2019年末以降は「NetWalker」と呼ばれており、2019年末から2020年初頭にかけて亜種が登場しました。この亜種が2020年3月から急増し、わずか5カ月間のうちに2500万ドル(約27億円)を稼ぎ出しました。被害地域の一覧が以下で、アメリカ大陸やヨーロッパ、ロシア、アジアなどの広い地域でNetWalkerがまん延していることがわかります。この中でも被害が特に多い地域は、アメリカと西ヨーロッパとのこと。

FBIが集計した、2013年10月から2020年3月までの6年以上にわたるランサムウェアの被害総額が以下。1位は2018年2月から2019年10月までの1年8カ月で6126万ドル(約65億円)を稼いだ「Ryuk」。2位は2016年11月から2019年11月までの3年間で2448万ドル(約26億円)を稼いだ「Crysis(Dharma)」でした。これらのランサムウェアと比較すると、NetWalkerの「5カ月で2500万ドル」という被害は、かなりのハイペースであることがわかります。

NetWalkerは、2020年3月以前の初期バージョンと、2020年3月以後の亜種では身代金を要求する手口が変化しています。2020年3月以前には、被害者に対してランダムなメールアドレスから直接メールを送りつけて、入金を迫るという手口でした。2020年3月以前にNetWalkerが被害企業に送りつけていたメールの一例が以下。

しかし、2020年3月以後の亜種は、電子メールによるやり取りをやめて、Torブラウザを介して被害者と連絡を取り合うという手口に変化。2020年3月以後の亜種版NetWalkerに感染した際に表示されるテキストの例が以下。Torブラウザをダウンロードしてインストールし、特定のウェブサイトを開いて、ユーザーコードを入力するように要求しています。このユーザーコードを入力すると、NetWalkerのチャットにリダイレクトされるとのこと。

McAfeeによると、NetWalkerの被害が急増している理由は、ハッカーが盗んだデータをアップロードする「リークポータル」にあるとのこと。NetWalkerが企業のネットワークに侵入した場合、NetWalkerはまず最初に機密データを盗み出して暗号化します。その後ハッカーはNetWalkerが盗み出した機密データを「時限公開機能」を使ってリークポータルにアップロードします。交渉が決裂したり一定時間以内に指定された金額を支払わなかった場合は、リークポータルにアップロードされた機密ファイルが公開される仕組みになっているそうです。リークポータルの見た目はこんな感じ。

McAfeeによると、このリークポータルの存在が、知的財産や機密データが漏えいしてしまうという被害企業の危機感をあおるのに役立っているとのこと。さらに被害企業の名前はニュース記事で頻繁に引用されることもあって、「企業のブランド力」が損なわれてしまうため、多くの企業がNetWalkerに身代金の支払いを余儀なくされています。

McAfeeは、2020年8月以降もNetWalkerの被害は増え続けると予想しています。