ランサムウェア「Karma」は、2021年半ばごろに発見されています。

データを素早く暗号化し、即効性のあるランサムウェアです。2021年10月に複数回にわたり修正され、急速に進化しました。

リークサイト「Karma Leaks」では、組織のネットワークに侵入しランサムウェアを展開することをほのめかしています。2021年11月時点のバージョンのKarmaで暗号化されたファイルの拡張子は、古いバージョンで使われていた拡張子の「.KARMA」ではなく、「.KARMA_V2」になります。

＜BlackBerry ThreatVector Blog＞
新種の高速ランサムウェアを阻止！ BlackBerry製品が、Karma ランサムウェアを未然に防御することを確認

ランサムウェア「BlackCat」は、2021年11月ごろに発見されています。

プログラミング言語「Rust」をベースに作られており、二重脅迫に加えてDDoS攻撃を仕掛けるとほのめかす三重恐喝も可能なRaaS（Ransomware-as-a-Service）形態のランサムウェアです。

攻撃者はマルウェアをサブスクリプション購入し、それを用いて独自のランサムウェアキャンペーンが可能になります。

BlackCatの元となるランサムウェアグループのALPHVでなくてもBlackCatを利用できるため、利用者が拡大しグループの収益や評判が向上。ほかのサイバー犯罪者がマルウェアのサブスクリプション（BlackCat RaaS）を利用した場合、検知された攻撃が、ALPHVに直接起因するものか判断が難しくなります。

世界中で幅広い業種の組織が攻撃に遭い、身代金額が250万ドルにものぼる事例も発生しています。

＜BlackBerry ThreatVector Blog＞
BlackBerry製品CylancePROTECT®は、BlackCat ランサムウェアを無効化します

ランサムウェア「Babuk」は、2021年初めに出現しています。

過去にContiやLockFileなどのランサムウェアグループが使用した手口と同じく悪意あるデータ（ペイロード） を展開し、Microsoft Exchange サーバーの ProxyShell の脆弱性を利用しています。

Windowsデバイスが標的とされ、AES-256アルゴリズムで被害者のファイルを暗号化していました。暗号化されたファイルが復元できなかった事例も確認されています。また、Babukを作成したグループは2021年4月、二重脅迫の手法に移行することを明らかにしました。

＜BlackBerry ThreatVector Blog＞
BlackBerry製品が、Babuk ランサムウェアを未然に防御することを確認

ランサムウェア「LockBit 3.0」は、2022年6月ごろに発見されています。

LockBit Blackの名でも知られ、マシン上のすべてのファイルを暗号化し、被害を受けたファイル名も変更されるため、ファイルの使用と発見が難しくなります。LockBit 3.0による暗号化の復号方法は明らかにされていません。

二重脅迫の手口を用いて、被害者が、EUのデータ保護法「GDPR」に違反する可能性があると脅迫し、データが公開されると罰金を科されると脅して身代金を要求します。

＜BlackBerry ThreatVector Blog＞
Windows Defender を悪用して Cobalt Strike をロードする LockBit 3.0 ランサムウェア

njRAT（別名Bladabindi）は、2012年に発見されています。

NetWireなどと同じくリモートアクセス型のトロイの木馬で、キーストロークの記録やスクリーンショットの盗撮、パスワード窃取、データの抜き出し、カメラやマイクへのアクセスに加え、追加ファイルのダウンロードなど、さまざま攻撃を実行します。

通常はフィッシングにより文書を通じて配信されますが、ファイル共有サイトで正規ソフトウェアになりすますなどによってドライブバイダウンロードで配信されることもあります。

＜BlackBerry ThreatVector Blog＞
BlackBerry、njRAT マルウェアを未然に防御

ランサムウェア「Phobos」による被害は、2020年ごろから、確認されています。

RDP（リモートデスクトッププロトコル）による不正アクセスや、フィッシングメールを感染経路とするランサムウェアです。

RDPで利用する認証情報は、ブルートフォース攻撃や、ダークネット上での購入、ネットワークの脆弱性利用により不正に入手されます。標的は、医療業界なども含む幅広い業界における中小規模の組織です。要求する身代金は低額ですが、そのために被害者が身代金を容易に払いやすい状況を作り出しています。

＜BlackBerry ThreatVector Blog＞
BlackBerry、Phobos ランサムウェアを未然に防御

BlackMatterは、2021年7月に特定されました。

RaaS（Ransomware-as-a-Service）として展開されているランサムウェアです。ロシアのランサムウェアギャングであるDarkSideと類似していると指摘されていますが、BlackMatter側は、両者のオペレーターは同じではないと主張しています。度々コードが修正され、セキュリティ対策製品での検知が難しい点が特徴です。2021年9月当時は、医療系の世界大手企業を攻撃しています。

＜BlackBerry ThreatVector Blog＞
BlackBerry、BlackMatter マルウェアを未然に防御

xLoaderは、2016年ごろに発見されました。

macOSとWindowsを標的とする情報窃取型マルウェアです。

ランサムウェアなどの販売を行うMaaS（Malware-as-a-Service）でxLoaderという名前で販売されています。以前はFormbookの名で販売されていました。両方のOSに対応できる管理パネルやソースコードが提供され、OSを問わず動作する点が特徴です。

＜BlackBerry ThreatVector Blog＞
BlackBerry、情報窃取型マルウェア（インフォスティーラ）xLoader を未然に防御

NetWireは、2012年ごろから活動が確認されています。

一般公開されているリモートアクセス型トロイの木馬で、感染すると攻撃者がコマンドアンドコントロール（C2）サーバーからシステムを監視するほか、制御を奪うこともあります。

キーストロークの記録や、スクリーンショットの盗撮、パスワードの窃取、Webカメラやマイクなどへのアクセスができます。OSはWindowsに加え、LinuxやmacOSでも動作します。

＜BlackBerry ThreatVector Blog＞
BlackBerry、NetWire マルウェアを未然に防御

Fickerは、2020年半ばに発見されています。

ロシアの地下オンラインフォーラムで販売・配布されている情報窃取型マルウェア（インフォスティーラー）です。

トロイの木馬化したWebサイトのリンクや侵害されたWebサイトを通じて配布される、Rust言語で作成されたMaaS（Malware-as-a-Service）です。音楽サイトや動画サイトなどの正規有料サービスを無料でダウンロードできると偽り、クレジットカード、暗号通貨ウォレット、FTPクライアントなどの情報を狙います。解析妨害のためのチェック機能を持つほか、システム侵害後に追加でマルウェアをダウンロードさせることも可能です。

＜BlackBerry ThreatVector Blog＞
BlackBerry、Ficker インフォスティーラ型マルウェアを未然に防御

ランサムウェア「Magniber」は、2017年ごろに発見されています。

PrintNightmareと呼ばれるWindowsの印刷スプーラーの脆弱性「CVE-2021-34527」を利用し、攻撃するランサムウェアです。

＜BlackBerry ThreatVector Blog＞
BlackBerry、Magniber ランサムウェアを未然に防御

Redlineは、2020年ごろより活動が確認されました。

フィッシングメール経由で感染する情報窃取型マルウェア（インフォスティーラー）です。2021年ごろの調査によればコマンドアンドコントロール（C2）通信の方法が大幅にアップデートされており、感染端末とC2サーバーとの間で送受信されているデータがどのようなものか把握するのがさらに困難になっています。

＜BlackBerry ThreatVector Blog＞
BlackBerry、進化した Redline Infostealer（情報窃取型マルウェア）を未然に防御

Raccoonによる被害は、2023年6月ごろから確認されています。

MaaSとして提供されている、認証情報を探して盗み出す情報窃取型マルウェア（インフォスティーラー）の亜種です。

Windowsユーザーを標的とし、認証情報や企業のネットワークへのアクセスに関する情報、メールアドレスなどを収集します。収集した情報はダークウェブ上で高値で取引され、ほかのマルウェアの保存・配布を目的としたファイルホスティングの不正利用、ネットワークへの不正アクセス、暗号通貨ウォレットの不正利用、マルウェアキャンペーン用メールアドレスの作成などに使用される可能性があります。

＜BlackBerry ThreatVector Blog＞
BlackBerry、Raccoon インフォスティーラ（情報窃取マルウェア）を未然に防御

LokiLockerは、2021年8月ごろに発見されています。

英語圏でWindowsユーザーを標的とする、ランサムウェアの一種です。デバイスに不正侵入し、窃取できそうな資産を捜索。また、発見したデータを暗号化し、アクセス復旧と引き換えに身代金を要求。期限内に支払われなければデータを使用不能にします。

＜BlackBerry ThreatVector Blog＞
BlackBerry、最新ランサムウェア LokiLocker を未然に防御

ランサムウェア「H0lyGh0st」は、2021年6月ごろより活動が確認されました。

出現以来さまざまな亜種が発見されている、北朝鮮のランサムウェアです。貧しい人を助け、貧富の差を埋めるという目的を掲げていますが、その標的には、最小限のセキュリティ予算で運営しているであろう中小企業も含まれています。

ファイルの復号鍵に対する支払いを要求します。
また、被害データは身代金の支払いを問わず著しく破壊されることも特徴です。

＜BlackBerry ThreatVector Blog＞
H0lyGh0st ランサムウェア：BlackBerry 製品は、この「邪悪（Unholy）」な脅威を無効化します

BoratRATは、2022年3月に発見されています。

過去のSantaRATと比較し汎用性が高く、認証情報の窃取やDDoS攻撃など多くの側面を持つリモートアクセス型トロイの木馬（RAT）です。ファイルシステムや、カメラやモニターといった周辺機器を操作し、録音や録画を実行します。デバイスとデータを人質にとり、身代金が支払われなければ、盗難データとアクセス情報を消去、あるいは公開します。

＜BlackBerry ThreatVector Blog＞
破壊的なクリプトウイルスキット、BoratRAT をBlackBerry製品が未然に防御

2021年7月頃から、ランサムウェア「LockBit 2.0」による被害が拡大しています。

LockBitは、2019年に初めて確認されたランサムウェアであり、攻撃グループの名称でもあります。2021年6月頃にLockBit2.0へアップデートされ、日本国内を含め世界で感染が広がっており今後の動向が注目されています。
LockBit2.0は、RaaSとして提供される暴露型のランサムウェアです。主に、サーバーなどネットワーク機器の脆弱性を悪用して侵入し、感染した場合にはファイルが暗号化され、拡張子が「.lockbit」に変更されます。ドメインコントローラーを乗っ取りネットワーク内に拡散する点、暗号化が高速である点に加え、ネットワーク上のプリンターへアクセスして身代金要求のメッセージを繰り返し印刷させようとする点が特徴です。

＜BlackBerry ThreatVector Blog＞
脅威のスポットライト：LockBit 2.0 ランサムウェア、大手コンサルティング会社を狙う

ランサムウェア「DarkSide」は、2020年8月頃より活動が確認されています。

DarkSideは、暴露型のランサムウェアであり、攻撃グループの名称でもあります。
フィッシングやRDP（Remote Desktop Protocol）、既知の脆弱性の悪用といったさまざまな手法でターゲット組織への侵入を試みます。組織内に侵入し、内部の偵察や資産情報の窃取を行った後、端末やサーバーへ本格的な攻撃を展開します。Windowsだけでなく、Linuxも標的としています。攻撃グループ「Darkside」は2021年5月に活動停止を表明していますが、名前を変えて活動を再開する可能性もあると考えられています。

＜BlackBerry ThreatVector Blog＞
BlackBerry、ランサムウェア「DarkSide」を未然に防御 - 攻撃が発生する数年前からすでに防御可能な状態

ランサムウェア「REvil」は2019年4月頃より活動が確認されています。

REvil（「Sodin」や「Sodinokibi」とも呼ばれる）は、RaaSで提供される、高度な暗号化技術を特徴とした暴露型のランサムウェアであり、攻撃グループの名称でもあります。
フィッシングやRDP（Remote Desktop Protocol）、デスクトップ共有ソフトウェア、VPN機器の脆弱性の悪用など、さまざまな手法により感染します。攻撃者はREvilに独自のツールなどを追加して攻撃できるため、攻撃対象の組織にあわせた多様な攻撃が可能です。

＜BlackBerry ThreatVector Blog＞
BlackBerry、REvil ランサムウェアを阻止

2020年5月頃より、ランサムウェア「Conti」による感染が確認され、北米を中心に世界で多くの被害が広がっています。

RaaSで提供される暴露型のランサムウェア「Conti」は、登場以来、何度もアップデートされており、進化した亜種も複数存在します。
TrickBotやIcedIDなどのほかのマルウェアを介して侵入し、ときには長期間にわたり組織内を偵察した後、機密情報を見つけ出します。データの暗号化速度が速く、ファイルやプリンター共有のプロトコルを介してネットワーク上へ拡散される点が特徴です。

＜BlackBerry ThreatVector Blog＞
BlackBerry が Contiランサムウェアを阻止

2020年11月、ランサムウェア「Ragnar Locker」による感染被害が報じられました。

Ragnar Lockerは、新しいタイプのランサムウェアであり、攻撃グループの名称でもあります。感染すると、一般的なランサムウェアと同様にデータを暗号化し身代金の支払いを迫ります。支払いを拒否すると、窃取した情報を公開すると脅迫します。
このように、データを暗号化するだけでなく機密情報を暴露すると脅し、金銭を要求するランサムウェアは「暴露型ウイルス」とも呼ばれます。

2020年10月末頃から、「IcedID」と呼ばれるマルウェアの被害が日本国内で広がっています。

IcedIDは、正規の送信元メールアドレスを装った日本語のスパムメールによって拡散されています。ZIPで圧縮されたWordファイルなどが添付されており、添付ファイルを開くと悪意のあるマクロが実行され、マクロによりダウンロードされる別の不正プログラムを通じてIcedIDがダウンロードされ感染します。
感染すると、メールクライアントやブラウザーの認証情報が窃取され、連絡先に登録されているメールアドレスに不正メールやなりすましメールを送り付けることで拡散していきます。また元々はバンキングトロイとして知られており、金融取引に関する情報を窃取されることもあります。

＜BlackBerry ThreatVector Blog＞
ブラックベリーサイランスvs. IcedIDバンキングトロイ

Emotetは以前から存在するマルウェアですが、2020年7月中旬以降、その活動が活発化しています。

Emotetは、実際の業務メールそっくりの内容を用いたメールに、Emotetをダウンロードさせるための悪意あるファイルを添付して送りつけることで感染を試みます。
Emotetの特徴や攻撃の流れなど、詳細はトータルセキュリティソリューション「Emotetへの対応について」をご参照ください。

＜BlackBerry ThreatVector Blog＞
Cylance vs. Emotet Infostealer Malware
Cylance vs. Updated Emotet

2017年5月12日頃より 「WannaCry」（※1）と呼ばれるランサムウェアやその亜種による被害が、世界各国で報じられました。

感染すると端末内のファイルが暗号化され、復号のために金銭を要求する日本語のメッセージが表示されます。
また、Windows SMB（※2）のリモートでコードが実行される脆弱性「CVE-2017-0145」を悪用しており、ネットワーク内での感染が拡大する恐れがあります。日本語以外にもさまざまな言語に対応しており、世界規模で攻撃が展開されています。

※1：WannaCry-WanaCrypt0r 2.0、Wanna Cryptor、WannaCryptor、Wcryなどとも呼ばれている

※2：Windows SMBとはネットワーク（LAN）上の複数のWindowsコンピュータの間でファイル共有やプリンタ共有などを行うためのプロトコルおよび通信サービス

2017年6月27日頃よりランサムウェア「Petya」の亜種（※3）による被害が、欧州を中心に世界各国で報じられました。

WannaCryなどの一般的なファイルを暗号化するランサムウェアと異なり、マスターブートレコード（MBR）（※4）を標的としており、感染するとファイルシステム自体を暗号化し、再起動後に暗号化メッセージを画面全体に表示します。
動作として、「Petya」と呼ばれるランサムウェアファミリーに酷似していますが、感染すると端末内のファイルが暗号化され、復号のために金銭を要求するメッセージが表示されます。WannaCryの拡散でも使われた、米国国家安全保障局（NSA）のエクスプロイトである「EternalBlue」をベースとしたワーム機能も持っており、感染するとほかの端末にも感染が拡大する恐れがあります。

※3：GoldenEye、PetyaWrap、Petya-Wrap、Petya-likeなどとも呼ばれている

※4：マスターブートレコードとは、単数または複数のパーティションに分けられたディスクにおいて、先頭部分にあるパソコンの起動に関する情報がかかれたセクター

2017年6月20日頃より「Oni」と呼ばれる新しいランサムウェアによる被害が、日本国内にて確認されています。

感染の対象はWindows OSで、ファイルのオリジナルの拡張子の語尾に「.oni」を付け加えます。

感染すると端末内のファイルが暗号化されます。暗号化後もファイルの識別は可能ですが、復号のために金銭を要求するメッセージが表示されます。ワーム機能も持っており、感染するとほかの端末にも感染が拡大する恐れがあります。

2015年後半以降から「SamSam」と呼ばれる主に医療機関や行政機関を標的にしたランサムウェアによる被害が増えています。

SamSamは、一般的なメール経由での感染とは異なり、RDP（Remote Desktop Protocol）を悪用して被害組織に侵入します。
また攻撃者は内部に侵入すると、ファイルを暗号化する前に、悪用できる脆弱性を探して内部での感染を広げます。そしてネットワーク全体を掌握した状態で、復号の鍵と引き換えに身代金を要求します。

2017年1月頃に「Satan」と呼ばれる新しいランサムウェアがRaaS市場で確認されました。

Satanは、パソコン内にあるファイルを強力に暗号化し、ビットコインで身代金を支払うように指示します。
Satanはサービスとして提供されているランサムウェアで、提供サイトのアカウントを作成することで誰でも作成できます。またサービスの代金は身代金の一部で支払うため初期費用が不要で、より多くのサイバー犯罪者に感心を持たせる一因となっています。