TOPセキュリティ > 名前を変えながら短期間で進化したランサムウエアビルダーCha...

セキュリティ

名前を変えながら短期間で進化したランサムウエアビルダーChaos/Yashmaとは(前)

2022/06/14

Lucian Constantin CSO

 2021年に登場したランサムウエアビルダーの1つに「Chaos」がある。猛威を振るったランサムウエア「Ryuk」の名をかたった、出来の悪いツールとして始まったが、すぐにChaosへと名前を変え、短期間のうちに活発な開発と改良を重ねて、いくつかの攻撃グループに採用されるまでになった。5月半ばには、再び名前を変えて強化を加えた最新バージョン「Yashma」による攻撃が初めて確認されている。

Credit: Kaptnali / Getty Images
Credit: Kaptnali / Getty Images

 セキュリティー研究者らによると、米国の緊急サービス機関や医療機関をはじめ、この1年にいくつかの業種の企業や団体に被害をもたらしたランサムウエア「Onyx」も、Chaosで構築したものだった。

 カナダBlackBerryは5月24日の公式ブログ記事でChaosとYashmaについて解説した。この中には次のような説明がある。「Chaos/Yashmaは柔軟性があり、広く手に入りやすいことから、今後も危険な存在となる。もともとはマルウエアビルダーとして販売・配布されていた。これを購入したサイバー攻撃者は、Onyxの攻撃グループの動きにならってランサムウエアの独自の亜種を開発し、標的を攻撃できる」

最初は低評価のChaosが短期間で進化

 Chaosは21年6月頃に登場したランサムウエアビルダー、すなわちクローズドソースのランサムウエア構築ツールである。このツールを購入した人はランサムウエアの機能や特性を独自にカスタマイズして、攻撃用バイナリーを生成できる。したがって、土台となるマルウエアプログラムは同じでも、使用するサイバー犯罪集団によってC&Cサーバーが違ったり、標的に合わせたカスタマイズが加わっていたりする。

 Chaosは登場時点では「Ryuk .NET Ransomware Builder v1.0」と称していた。しかしその名前とは裏腹に、2018年から世界中で猛威を振るってきたランサムウエアRyukとは一切関係がなかった。本物のRyukはセキュリティー業界でWizard Spiderと呼ばれているサイバー犯罪集団が開発したランサムウエア。Ryukの後継にあたる「Conti」やボットネット「TrickBot」も同じ集団のしわざと考えられている。

 BlackBerryのブログ記事によると、Ryuk .NET Ransomware Builderが闇フォーラムで発表された時点では、サイバー犯罪者たちの反応は否定的で、Ryukの名をかたった売り込み方への反感が強かった。しかも、このビルダーで作成したランサムウエアは機能が乏しく、いわばファイル破壊ツールにすぎなかった点が反発を招いた。

↑ページ先頭へ