TOPアプリ/OS > 名前を変えながら短期間で進化したランサムウエアビルダーCha...

アプリ/OS

名前を変えながら短期間で進化したランサムウエアビルダーChaos/Yashmaとは(後)

2022/06/16

Lucian Constantin CSO

 2021年に登場したランサムウエアビルダーの1つに「Chaos」がある。猛威を振るったランサムウエア「Ryuk」の名をかたった、出来の悪いツールとして始まったが、すぐにChaosへと名前を変え、短期間のうちに活発な開発と改良を重ねて、いくつかの攻撃グループに採用されるまでになった。5月半ばには、再び名前を変えて強化を加えた最新バージョン「Yashma」による攻撃が初めて確認されている。

前回から続く)

Credit: ismagilov / Getty Images
Credit: ismagilov / Getty Images

 BlackBerryのブログ記事には、Onyxの犯人と被害者がサイト上で実際に行ったチャットの内容も出ている。このやり取りには、ランサムウエアビルダーChaosの開発者と称する人物が割って入っており、Onyxのランサムウエアは古いバージョンのChaosを基にしていると説明したうえで、最新バージョンでは最大2Mバイトという制約がなくなったとの売り込みを行っている。

 Onyxの攻撃が展開された期間は短かったが、米国に拠点を置く金融や医療、農業などの分野の企業や緊急サービス機関が被害を受けた。Onyxの攻撃集団とChaos Builderの開発者との関係は定かでないが、Onyxの攻撃が成果を上げたことで、Chaos Builderに対するサイバー犯罪者からの関心が高まった可能性はある。暗号化できるファイルのサイズに制約がなくなったとあればなおさらだ。

 Onyxの攻撃で重大な問題の1つは、多くのランサムウエアの流儀と違って、破壊されるファイルが多いことだ。以前であれば、ランサムウエア攻撃の犯人はファイルの復号に関する約束を基本的には守ることが多かった。金を払えば約束どおりファイルを取り戻せるとの評判を維持することが狙いだったと考えられる。

 米セキュリティー企業Malwarebytesの研究者であるChristopher Boyd氏は、こうした信頼の輪が近年は崩れてきたと指摘する。犯罪集団によっては身代金を受け取った後も恐喝を続けるところがある。また現在はこの種の活動に従事する集団の数が以前より増えており、結成と消滅を繰り返していて、被害者はお手上げとなる場合もある。そのうえ、Chaosを基にしたOnyxのように、復元できない形でファイルを破損させるランサムウエアもある。

 Boyd氏は4月28日のブログ記事で、今やランサムウエア開発者に対する期待や信頼らしきものは完全に消え去ったと指摘している。「現在のランサムウエアはあまりに巨大で扱いにくいものとなっており、攻撃後の動きは見当もつかない。予想できるのは、たとえ身代金を払っても恐喝は続くということだ」。Boyd氏は米テクノロジー情報サイトBleepingComputerの2月23日の記事を引き合いに出して、RaaS(Ransomware as a Service)の活動存続期間が非常に短くなっている点や、攻撃の実行部隊が本隊の意向を無視して勝手に動くことが多々ある点を挙げ、やりたい放題のような状況だとしている。

↑ページ先頭へ