フランスおよびウクライナ当局によって2021年2月に実行された取り締まりにより、ランサムウェア「Egregor(エグレガー)」を操る「ランサムウェアカルテル」のメンバー3人が、ウクライナで逮捕されました。今回の逮捕にはトレンドマイクロを含め複数のサイバーセキュリティ企業が法執行機関に協力しており、官民連携の1つの成果と言えます。
続きを読むトレンドマイクロは、2018 年 7 月 25 日以降、「malvertisement(不正広告)」と脆弱性攻撃ツール(エクスプロイトキット)「Rig EK」を利用して、仮想通貨発掘マルウェアや暗号化型ランサムウェア「GandCrab」を拡散する活動を確認してきました。その後、8 月 1 日には、Rig EK によって、今まで知られていなかったランサムウェアが拡散されていることを確認しました。この新種と思われるランサムウェアを詳細に解析したところ、匿名ネットワーク「Tor」内で身代金支払いページを確認することができました。このランサムウェアは「PRINCESS EVOLUTION(プリンセスエボリューション)」(「RANSOM_PRINCESSLOCKER.B」として検出)と呼ばれおり、実際に、2016 年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョンであることが判明しました。PRINCESS EVOLUTION は、「Ransomware as a Service(サービスとしてのランサムウェア、RaaS)」として提供されており、アンダーグラウンドの掲示板で利用者を募集していました。
図 1:身代金支払いページの「PRINCESS EVOLUTION」のロゴ
一般に「サイバー犯罪」は、特殊なスキルを持った犯罪者集団により行われるものと考えられているかもしれません。しかし、インターネットから直接アクセスできない不正サイト、所謂「ダークウェブ」にアクセスすることさえできれば、アンダーグラウンドマーケット(闇市場)においてサイバー犯罪の実行に必要な「ツール」や「サービス」を購入できます。中でも「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)は、サイバー犯罪に使用する不正プログラムが誰にも容易に調達できるようになっていることを示す、特徴的な例と言えます。本記事では「RaaS」とはどのようなものであるか、その実例を元に解説します。
続きを読むVictim or potential business partner? (訳:身代金を支払いますか、またはビジネスパートナーになりますか?)
2015年9月、Cryptoランサムウェア「Chimera」が確認されました。そして上述の質問は、このChimera(トレンドマイクロの製品では「Ransom_CRYPCHIM.A」として検出)が投げかける質問です。Chimeraは一見すると、典型的な Cryptoランサムウェアのように見えます。しかし、Chimeraには、3つの目立った特徴があります。
続きを読む