2024年12月に最も活発だったマルウェアを発表 新たなランサムウェアグループ「FunkSec」が猛威を振るう
チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、2024年12月の最新版Global Threat Index(世界脅威インデックス)を発表した。
2024年末、FunkSecがサイバー脅威の最前線に躍り出た。RaaS(サービスとしてのランサムウェア)の主要な攻撃者として台頭したFunkSecは、2024年12月にデータリークサイト(DLS)で85件以上の被害者プロファイルを公開し、大きな波紋を呼んだ。しかし、CPRが発表した2024年12月のGlobal Threat Index(世界脅威インデックス)で、この急速な台頭の背後にある複雑な実態が明らかになった。
FunkSecの急速な成長は、RaaS運営者の戦術が進化していることを示している。人工知能(AI)を活用して業務を拡大し、ランサムウェアの生成や二重恐喝キャンペーンの管理にAIを多用していると見られている。しかし、CPRの分析によると、この革新的なアプローチは適応力の高さを示す一方で、高度な技術力の欠如も指摘されている。FunkSecが公開した主張の多くは、使い回しや偽造、未確認の可能性もあり、同グループの信頼性や実行能力に疑問が投げかけられている。
CPRの調査では、FunkSecの活動はアルジェリアと関連があり、金銭的動機とハクティビズムの思想が混在していることが示唆されている。この2つの動機は、政治的混乱と利益追求型サイバー犯罪の境界線上で活動する点で、FunkSecを既存のランサムウェアグループと一線を画すものとしている。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
2024年12月に最も流行したマルウェアはFakeUpdatesで、国内企業の2.56%に影響を与え、約4ヵ月ぶりに首位になった。2位は前月に続いてRemcosで、Lamerが1.42%で3位に浮上した。
1. ↑ FakeUpdates(2.56%)– FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
2. ↔ Remcos(1.70%)– Remcosは2016年に初めて出現したリモートアクセス型トロイの木馬(RAT)で、スパムメールに添付された悪意のあるMicrosoft Officeドキュメントを通じて展開する。WindowsのUACセキュリティを回避し、管理者権限でマルウェアを実行するように設計されている。
3. ↑ Lamer (1.42%) – Lamerはトロイの木馬型マルウェアで、気付かれることなく情報を窃取するなどの悪意のある目的でPCの防御を突破して侵入する。Lamerは、悪意のあるスパムメールや感染ツールを通じて拡散する。
2024年12月に活発だった上位のマルウェアファミリー
* 矢印は、前月と比較した順位の変動を示しています。
12月に最も流行したマルウェアは、FakeUpdatesで、全世界の組織の5%に影響を及ぼした。続くAgentTeslaとAndroxgh0stはともに3%でした。これらのマルウェアの亜種は、認証情報の窃取からクロスプラットフォームのボットネットの悪用まで、様々な戦術を用いています。
1. ↑ FakeUpdates – FakeUpdates、別名SocGholish。
2. ↑ AgentTesla – AgentTeslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のデバイスにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。
3. ↓ Androxgh0st – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している。
モバイルマルウェアのトップ
2024年12月に最も流行したモバイルマルウェアのランキングでは、リモートアクセスとランサムウェアの機能で知られるAnubisが首位に立った。続く2位はトロイの木馬ドロッパーのNecroで、3位にバンキングの情報を狙うマルウェアHydraがランクインした。
1. ↑ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
2. ↑ Necro – NecroはAndroid向けのトロイの木馬型ドロッパーで、他のマルウェアをダウンロードしたり、迷惑広告を表示したり、有料のサブスクリプションサービスの料金を請求して金銭を盗んだりする。
3. ↑ Hydra– Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬である。
世界的に最も攻撃されている業種、業界
2024年12月、世界的に最も攻撃されている業界は「教育・研究」で、5カ月連続でトップにランクインした。2位は「通信」、3位は「政府・軍関係」。こうした傾向は、相互接続されたシステムや機密データに大きく依存する業界における、継続的な脆弱性を浮き彫りにしている。
1. 教育・研究
2. 通信
3. 政府・軍関係
最も活発なランサムウェアグループ
ランサムウェアグループが運営するリークサイト(Shame Sites)のデータによると、2024年12月に最も活発だったランサムウェアグループはFunkSecで、リークサイトで公表された攻撃のうち14%に関与していた。RansomHubとLeakeDataはいずれも全体の9%を占めた。
1. FunkSec – FunkSecは2024年12月に初めて出現した新興のランサムウェアグループで、二重恐喝の手口を用いることで知られている。一部の報告では、2024年9月から活動を開始したとされている。特筆すべきは、FunkSecのデータリークサイトがランサムウェアのインシデントとデータ侵害の報告を組み合わせていることで、これにより異常に多い被害者数が報告されている。
2. RansomHub – RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS(サービスとしてのランサムウェア)。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げた。このマルウェアは、高度な暗号化手法を用いることで知られている。
3. LeakeData – LeakeDataは最近確認されたグループのひとつで、ウェブ上でデータリークサイトを運営している。このサイトでは、被害者とされる人々のデータをリスト化し、今後の情報公開までのカウントダウンを表示している。恐喝グループを装っているものの、サイトにはコミュニケーション手段が用意されておらず、この組織の実態や、被害者として名指しされた組織が実際に被害を受けているのかどうか、そして真の目的は不明なままとなっている。
国ごとの脅威インデックス
下の地図は、世界のリスク指数(濃い赤色ほどリスクが高い)を示したもので、主な高リスク地域が把握できる。
結論
2024年12月のサイバー脅威の情勢は、サイバー犯罪者の戦術が急速に進化していることを浮き彫りにしている。特に、FunkSecの台頭は、ランサムウェアにおけるAI駆動型のオペレーションの採用が増加していることを示している。FunkSecの手法は物議を醸しており、信頼性に疑問が持たれているものの、その活動から新興グループであっても重大な脅威となり得ることが明らかとなった。また、FakeUpdatesやAgentTeslaといった従来型マルウェアが依然として猛威を振るっており、スマートフォンを標的とした攻撃も続いている。さらに、重要産業におけるセキュリティの脆弱性も新たに発見されており、より強固な予防的セキュリティ対策の構築が急務となっている。
組織は、これらの脅威に対抗するために、高度なテクノロジーやリアルタイムの脅威インテリジェンス、包括的な防御戦略を活用し、迅速に適応していく必要がある。2025年に向けて、リスクを軽減し、デジタルの安全な未来を確保するためには、最新のトレンドを把握し続けることが不可欠となる。
出典:PRTimes チェック・ポイント・リサーチ、2024年12月に最も活発だったマルウェアを発表 新たなランサムウェアグループ「FunkSec」が猛威を振るう
