「Blackhole Exploit Kit」の作成者逮捕とランサムウェア「CryptoLocker」の拡散との関連性

2013年10月からのこの数週間で、多くのユーザにとって大きな影響を及ぼす脅威として「身代金要求型不正プログラム(ランサムウェア)」である「CryptoLocker」の出現を確認しています。この脅威に関するトレンドマイクロの調査で、「CryptoLocker」の拡散の手法や、特にスパムメールおよびオンライン銀行詐欺ツール「ZBOT」との関連性の詳細を明らかにしました。しかしながら、当初確認したものよりも、この脅威の出現はそれだけでは終わらないように思われます。

弊社は、この「CryptoLocker」の増加に対し 1つの可能性のある要因を確認しました。それは、「Blackhole Exploit Kit(BHEK)」の作成者とされる「Paunch」の逮捕です。Paunch容疑者の逮捕は、エクスプロイトキットを利用したスパムメール送信活動の大幅な減少につながりました。明らかにこれは、スパムメール送信の世界に空白を生み出したと言えます。しかしスパムメール送信者たちは、スパムメールの送信を突然停止することはありません。彼らは、今まで送信していたものに代わる何かを送信する必要があり、その「何か」が問題となります。

それらの代替の 1つは、「UPATRE」ファミリとなりました。弊社は、Paunch容疑者が逮捕された月である 2013年10月前後に、BHEK に関連するスパムメールの送信を主に行っていたボットネット「Cutwail」が、最終的に「CryptoLocker」をダウンロードさせる「UPATRE」を運ぶスパムメールの送信を開始したことを確認しました。実際弊社は、この推移に関わった複数の IPアドレスを監視しました。これは、逮捕の直前までは BHEK に関わるスパムメールの送信を行い、逮捕後には「CryptoLocker」に関連するスパムメールの送信をしているというものです。

2013年10月21日の記事で取り上げた「Cutwail」から「UPATRE」、「ZBOT」、そして「CRILOCK」へとつながる感染連鎖は、「CryptoLocker」の拡散に利用される最も一般的な感染連鎖であると考えられます。ボットネット「Cutwail」は、非常に膨大な数のスパムメールを送信する機能を備えており、この数週間に見られた最新版ランサムウェアの高い発生率を説明することができます。さらにこれは、サイバー犯罪者たちの回復の早さを浮き彫りにしています。Paunch容疑者の逮捕への反応は、非常に早く以前よりもさらに多くのユーザに影響を与える結果になった可能性があります。

弊社では、以前の「CryptoLocker」に関する記事で被害者にならない方法を取り上げました。また、受け取る予定のない添付ファイルは絶対に開かないように繰り返しユーザに喚起しています。これは、ユーザのこの脅威への危険性を最小限にさせるのに役立ちます。

参考記事:

  • CryptoLocker Emergence Connected to Blackhole Exploit Kit Arrest
    by Maria Manly (Anti-spam Research Engineer)
  • 翻訳:木内 牧(Core Technology Marketing, TrendLabs)