チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表　LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年6月の最新版Global Threat Index（世界脅威インデックス）を発表しました。 6月のインデックスでは、CPRのリサーチャーがRaaS（サービスとしてのランサムウェア）の状況の変化を報告しています。公開されているリークサイト（Shame sites）によると、比較的新しいランサムウェアグループであるRansomHubがLockbit3を追い抜き、最も活発なランサムウェアグループとなっています。一方、BadSpaceと名付けられたWindowsのバックドアマルウェアが新たに確認され、感染したWordPressのウェブサイトや虚偽のブラウザアップデートなどが拡散に関係していることが分かりました。

LockBit3の衰退後、ランサムウェアグループ「RansomHub」が活発に

2月に行われたLockBit3に対する法執行措置の結果、4月中のLockBit3の被害者数はわずか27という過去最低数を記録しました。その後、5月には被害者数170という原因不明の増加を見せたものの、6月には再び20を下回り、潜在的な被害者の減少を示しています。

現在、多くのLockBit3の関連組織が他のRaaSグループの暗号化ツールを使用しており、他の脅威アクターによる被害の報告が増加しています。2024年に初めて姿を現し、Knightランサムウェアの生まれ変わりと言われているRansomHubは、この6月に80組織近くの新たな被害者を出し、著しい隆盛を見せました。特筆すべきは、公表された被害者のうちアメリカの被害者はわずか25%で、ブラジル、イタリア、スペイン、イギリスが残りの大多数を占めていることです。

国内ランキングでも上位をキープするFakeUpdatesに新たな動きが

その他の動向として、CPRのリサーチャーはFakeUpdates（別名SocGholi）の最近のキャンペーンに注目しています。過去数ヶ月にわたり最も活発なマルウェアとして上位にランクインしているFakeUpdatesですが、新たにBadSpaceと呼ばれるバックドアマルウェアを配信していることが明らかになりました。FakeUpdatesの拡散を促進しているのは第三者のアフィリエイトネットワークで、このネットワークは危険なウェブサイトからのトラフィックをFakeUpdatesのランディングページへとリダイレクトします。このランディングページでは、ユーザーにブラウザのアップデートと思われるファイルをダウンロードするよう促します。しかしこのダウンロードには、実際にはJScriptベースのローダーが含まれており、BadSpaceバックドアをダウンロードして実行します。BadSpaceは検知を回避するために、高度な難読化技術とアンチサンドボックス技術を採用し、スケジュール化されたタスクによって持続的に稼働を維持します。そのコマンド＆コントロール通信は暗号化されているため、傍受は困難です。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。
「LockBit3に対する執行措置は、望ましい影響をもたらしたようです。しかし、以前にも指摘した通り、LockBit3が衰退しても主導権が他のランサムウェアグループに移っただけであり、彼らは世界中の組織に対してランサムウェアキャンペーンによる攻撃を続けていくでしょう」

国内で活発な上位のマルウェアファミリー 

*矢印は、前月と比較した順位の変動を示しています。

国内ランキングは4月、5月に続きAndroxgh0stが国内企業の2.90%に影響を与え、首位に立ちました。続く2位には影響値1.63%でモジュール型トロイの木馬であるBMANAGERが初めてランキングの上位となりました。そして、AgentTeslaが1.27%の国内企業に影響を与え、3位となっています。

1.      ↔ Androxgh0st（2.90%） - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

2.      ↑BMANAGER（1.63%） - BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬です。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む洗練されたマルウェア配信システムの使用へと進化しています。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計されたさまざまなコンポーネントを含むスイートの一部です。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出します。

3.      ↑AgentTesla（1.27%）– AgentTeslaは、キーロガーとパスワード窃取機能を持つ高度なRAT（リモートアクセス型トロイの木馬）です。2014年から活動しており、AgentTeslaは被害者のキーボード入力やシステムクリップボードを監視・収集し、スクリーンショットを記録し、被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアントなど）を通じて認証情報を抽出します。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

6月には、FakeUpdatesが最も流行したマルウェアとなり、全世界の組織の7%に影響を及ぼしました。続く2位にはAndroxgh0stがランクインし、世界的な影響は6%でした。また、3位はAgentTeslaで、世界的な影響は3%でした。

1.           ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2.           ↔ Androxgh0st – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

3.      ↑ AgentTesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

悪用された脆弱性のトップ

1.           ↑ Check Point VPNの情報漏えい（CVE-2024-24919） - Check Point VPNに情報漏えいの脆弱性が発見されました。攻撃者はこの脆弱性によって、リモートアクセスVPNまたはモバイルアクセスが有効なインターネット接続ゲートウェイ上の特定の情報を読み取ることができる可能性があります。

2.           ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

 

3.           ↑ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ

6月、最も流行したモバイルマルウェアのランキングではJokerが首位に立ち、2位はAnubis、3位はAhMythでした。

1.    ↑ Joker – JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能です。

2.    ↓ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

3.    ↓  AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

世界的に最も攻撃されている業種、業界

6月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」でした。

1.    教育・研究

2.    政府・軍関係

3.    保健医療

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。6月に最もかっぱつだったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち21%に関与していました。2位はPlayで全体の8%を占め、3位のAkiraは5%を占めています。

1.    RansomHub – RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。

2.    Play – Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin（環境寄生バイナリ）の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。

3.    Akira – 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としています。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似しています。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布されます。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示されます。

6月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/ ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/ ）は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ 

チェック・ポイント広報事務局 （合同会社NEXT PR内）

Tel: 03-4405-9537　Fax: 03-6739-3934

E-mail: checkpointPR@next-pr.co.jp