2024年1月に最も活発だったマルウェアを発表 国内・グローバルともにFakeUpdatesが首位に
CPRは、本月次レポートに新たな項目「最も活発なランサムウェアグループランキング」を追加。国内被害も出したLockBit3が首位に
AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、2024年1月の最新版Global Threat Index(世界脅威インデックス)を発表した。
CPRは1月、蔓延する新しいトラフィック配信システム(TDS)の活動を特定し、VexTrioと名付けた。VexTrioは7万以上の侵害されたサイトのネットワークを通じて、60以上のアフィリエイトを支援している。一方、最も活発だったマルウェアランキングでは国内・グローバルともにFakeUpdatesが首位となり、今回のインデックスで新たに公開された「最も活発なランサムウェアグループ」ランキングではLockBit3が首位に立った。世界的に最も攻撃を受けた業種・業界は、引き続き「教育・研究」分野となっている。
VexTrioの活動を特定
2017年以降活動が確認されている不正な配信システムVexTrioは、数十に及ぶ協力者と共に、高性能のTDSを通じて悪意あるコンテンツを拡散している。VexTrioの活動はマーケティングで利用される合法的なアフィリエイトネットワークに類似するシステムを用いているため、多くの場合検出が難しく、6年以上にわたり活動しているにもかかわらず活動規模はほぼ不明であった。この理由はVexTrioと特定の脅威アクターや攻撃チェーンとの結びつきを窺わせるものがほぼ存在しない点にあり、VexTrioは広範なネットワークと高度なオペレーションによって重大なサイバーセキュリティリスクとなっている。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べている。
「サイバー犯罪者は、単なるハッカーから詐欺手法を構築するアーキテクトへと進化しています。VexTrioは、この分野がいかに商業的な利益追求型になっているかを再認識させる例のひとつです。個人、そして組織は、安全を維持するために、サイバーセキュリティの定期的なアップデートを優先事項とし、強固なエンドポイント保護を採用し、接続された環境において警戒心を保ち続ける文化を醸成する必要があります。常に最新の情報を把握し、積極的に行動することによって、私たちは新たなサイバー脅威がもたらすさまざまに進化する危機に対し、一丸となって堅い防御を実現できるのです」。
「最も活発なランサムウェアグループランキング」を追加
今回のチェック・ポイントの脅威インデックスでは、「最も活発なランサムウェアグループランキング」が、200を超えるリークサイトの活動に基づき初めて追加された。1月、最も活発だったランサムウェアグループはLockBit3で、公表された攻撃の20%を占めました。LockBit3はサンドイッチチェーンSubwayへの攻撃や、シカゴのセント・アンソニー病院への攻撃など、複数の注目すべき事件を1月中に起こしている。
また、CPRの報告によると、1月に最も悪用された脆弱性は「HTTPへのコマンドインジェクション」で、全世界の組織の44%に影響を及ぼした。続く2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は41%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は40%であった。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
1月の国内ランキングは、グローバルランキングでも首位のFakeUpdatesが国内企業の2.02%に影響を与え首位に立った。2位にはFormbookが影響値1.52%で、3位にはSnatchが影響値1.26%で続いている。
- ↑ FakeUpdates(2.02%) – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
- ↔ Formbook(1.52%) – FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードし、実行する。
- ↑ Snatch(1.26%) – Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使する。
グローバルで活発な上位のマルウェアファミリー
*矢印は前月と比較した順位の変動を示しています。
1月、世界的に最も活発だったのは国内ランキングでも首位となったFakeUpdatesで、全世界の組織の4%に影響を与えた。2位はQbotで世界的な影響は3%、3位にはFormbookがランクインし、世界的な影響は2%であった。
1. ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
2. ↑ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されている。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避する。2022年以来、最も流行しているトロイの木馬のひとつとして台頭している。
3. ↓ Formbook – FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードし、実行する。
悪用された脆弱性のトップ
1月、最も悪用された脆弱性は「HTTPへのコマンドインジェクション」で、全世界の組織の44%に影響を及ぼした。2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は41%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は40%。
1. ↑HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されている。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用する。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになる。
2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものである。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる。
3. ↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っている。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる。
モバイルマルウェアのトップ
1月もAnubisが最も流行したモバイルマルウェアの首位を維持した。2位にはAhMyth、3位にはHiddadが続いている。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
2. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。
3. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開している。主な機能は広告の表示であるが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能である。
世界的に最も攻撃されている業種、業界
1月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野。2位は「政府・軍関係」、3位は「保健医療」であった。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
最も活発なランサムウェアグループ
このセクションでは、二重恐喝型ランサムウェアグループが運営する約200のリークサイト(Shame Sites)から得られた情報を基にランキングを作成している。2024年に入ってから、それらのサイトのうち68に被害者の名と情報が掲載された。サイバー犯罪者はこれらのサイトを利用し、身代金を即座に払わない被害者にさらなる圧力をかける。これらのサイトから得られるデータにはサイトの性格がもたらす偏向が見られるが、企業にとって現在最大のリスクであるランサムウェアのエコシステムについて、貴重な洞察をもたらす。
1月、最も活発だったランサムウェアグループはLockBit3で、公表された攻撃全体のうち20%を首謀していた。続く2位は8Baseで全体の10%を占め、3位のAkiraは全体の9%を占めた。
1. LockBit3 – LockBit3はRaaSモデルを用いるランサムウェアグループで、2019年9月に初めて報告された。LockBit3は様々な国の大企業や政府機関をターゲットにしているが、ロシアおよび独立国家共同体(CIS)を標的にした活動は確認されていない。
2. 8base – 8Baseは、遅くとも2022年3月から活動が確認されているランサムウェア集団。2023年半ばに著しく活動を活発化させ、大きく知名度を上げた。このグループではランサムウェアのさまざまな亜種の使用が確認されているが、すべてに共通する要素はPhobosランサムウェアである。ランサムウェアに高度な技術を用いていることによって明らかなように、8Baseの活動は洗練されており、二重恐喝の手法も駆使する。
3. Akira – 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としている。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似している。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布される。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示される。
2024年1月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログにて確認ができる。
出典:PRTimes チェック・ポイント・リサーチ、2024年1月に最も活発だったマルウェアを発表 国内・グローバルともにFakeUpdatesが首位に
