企業のセキュリティ チームは、監視が必要なランサムウェアの脅威が増え続けているリストに、さらに XNUMX つのランサムウェアの亜種を追加できます。
Vohuk、ScareCrow、AESRT の XNUMX つの亜種は、ほとんどのランサムウェア ツールと同様に、Windows システムを標的とし、複数の国のユーザーが所有するシステムで比較的急速に増殖しているようです。 今週脅威を追跡している Fortinet の FortiGuard Labs のセキュリティ研究者は、同社のランサムウェア データベース内でランサムウェアのサンプルが勢いを増していると述べています。
フォーティネットの分析 XNUMX つの脅威のうち、それらは標準的なランサムウェア ツールであるにもかかわらず、侵害されたシステムでデータを暗号化するのに非常に効果的であることが示されました。 Fortinet のアラートでは、新しいランサムウェア サンプルのオペレーターがどのようにマルウェアを配布しているかは特定されていませんが、通常、フィッシング メールがランサムウェア感染の最も一般的な経路であることが指摘されています。
バリエーションの増加
フォーティネットの FortiGuard Labs のシニア セキュリティ エンジニアであるフレッド グティエレス (Fred Gutierrez) は、次のように述べています。
2022 年の前半だけで、FortiGuard Labs が特定した新しいランサムウェアの亜種の数は、前の 100 か月間と比較してほぼ 10,666% 増加したと彼は言います。 FortiGuard Labs チームは、2022 年下半期にはわずか 5,400 であったのに対し、2021 年上半期には XNUMX の新しいランサムウェア亜種を文書化しました。
「この新しいランサムウェアの亜種の増加は主に、ダーク Web でサービスとしてのランサムウェア (RaaS) を利用する攻撃者の増加によるものです」と彼は言います。
彼は次のように付け加えています。「さらに、おそらく最も懸念される側面は、より破壊的なランサムウェア攻撃が大規模かつ事実上すべてのセクター タイプで増加していることです。これは 2023 年まで続くと予想されます。」
標準的だが効果的なランサムウェア株
Fortinet の研究者が分析した Vohuk ランサムウェアの亜種は、XNUMX 回目の反復にあるようであり、作成者が積極的に開発していることを示しています。
Fortinet によると、このマルウェアは侵害されたシステムに身代金メモ「README.txt」をドロップし、被害者に一意の ID を使用して攻撃者に電子メールで連絡するように求めます。 このメモは、攻撃者が政治的な動機を持っているわけではなく、金銭的利益のみに関心があることを被害者に知らせています。
一方、「ScareCrow は、被害者のマシン上のファイルを暗号化するもう XNUMX つの典型的なランサムウェアです」と Fortinet は述べています。 「『readme.txt』というタイトルの身代金メモには、被害者が攻撃者と話すために使用できる XNUMX つの Telegram チャネルが含まれています。」
身代金メモには具体的な金銭的要求は含まれていませんが、暗号化されたファイルを復元するには、被害者が身代金を支払う必要があると考えて間違いないとフォーティネットは述べています。
セキュリティ ベンダーの調査では、ScareCrow と悪名高い Conti ランサムウェアの亜種、これまでで最も多作なランサムウェア ツールの XNUMX つです。 たとえば、どちらも同じアルゴリズムを使用してファイルを暗号化し、Conti と同様に、ScareCrow は WMI コマンド ライン ユーティリティ (wmic) を使用してシャドウ コピーを削除し、感染したシステムでデータを復元できないようにします。
VirusTotal への提出は、ScareCrow が米国、ドイツ、イタリア、インド、フィリピン、およびロシアのシステムに感染したことを示唆しています。
最後に、フォーティネットが最近発見した XNUMX 番目の新しいランサムウェア ファミリである AESRT は、他の XNUMX つの脅威と同様の機能を備えています。 主な違いは、マルウェアが身代金メモを残す代わりに、攻撃者の電子メール アドレスと、被害者が要求された身代金を支払うと、暗号化されたファイルを復号化するためのキーを表示するフィールドを含むポップアップ ウィンドウを提供することです。
Crypto-Collapse はランサムウェアの脅威を遅らせますか?
新しい亜種は、ランサムウェア オペレーターが企業組織を容赦なく叩き続けているため、組織が日常的に対処しなければならないランサムウェアの脅威の長い (そして常に増加している) リストに追加されます。
LookingGlass が今年初めに分析したランサムウェア攻撃に関するデータは、いくつかの攻撃があったことを示しています。 1,133 件のランサムウェア攻撃を確認 2022 年上半期だけでも、半数以上 (52%) が米国企業に影響を与えました。 LookingGlass によると、最も活発なランサムウェア グループは LockBit 亜種の背後にあるグループであり、次に Conti、Black Basta、および Alphy ランサムウェアの背後にあるグループでした。
ただし、活動の速度は安定していません。 一部のセキュリティ ベンダーは、XNUMX 年の特定の時期にランサムウェアの活動がわずかに鈍化したと報告しています。
たとえば、SecureWorks は中間報告書で、XNUMX 月と XNUMX 月にインシデント対応を行った結果、新たなランサムウェア攻撃の成功率が少し低下したことを示唆していると述べています。
SecureWorks は、この傾向の少なくとも一部は、今年の Conti RaaS 運用の中断や、 ウクライナでの戦争の破壊的影響 ランサムウェア ギャングについて。
Identity Theft Resource Center (ITRC) からの別のレポートは、 ランサムウェア攻撃が 20% 減少したと報告 その結果、2022 年の第 XNUMX 四半期と比較して、XNUMX 年の第 XNUMX 四半期に侵害が発生しました。 ITRC は、SecureWorks と同様に、この減少がウクライナでの戦争に関係していること、そしてランサムウェア オペレーターが支払いに好んで使用する仮想通貨の崩壊に大きく関係していることを特定しました。
LookingGlass の CEO である Bryan Ware 氏は、2023 年には仮想通貨の崩壊がランサムウェア オペレーターの足を引っ張る可能性があると考えていると述べています。
「最近の FTX スキャンダルは暗号通貨のタンキングを引き起こし、これはランサムウェアの収益化に影響を与え、本質的に予測不可能なものにしています」と彼は言います。 「ランサムウェアの運用者にとって、これは良い兆候ではありません。長期的には他の形態の収益化を検討する必要があるからです。」
ウェアは言う 暗号通貨をめぐる動向 独自の暗号通貨の使用を検討しているランサムウェア グループがいくつかあります。
