16のランサムウェアの例

ランサムウェアは、被害者の重要なファイルを暗号化し、アクセスを復元するために金銭(身代金)を要求するマルウェアです。身代金の支払いが行われると、ランサムウェアの被害者は暗号化解除キーを受け取ります。支払いが行われないと、悪意のあるアクターはダークウェブにデータを公開したり、暗号化されたファイルへのアクセスを永久にブロックします。

以下に、16の最新ランサムウェアの例を示し、攻撃がどのように行われるかを概説します。

  1. BitPaymer
  2. CryptoLocker
  3. DarkSide
  4. Dharma
  5. DoppelPaymer
  6. GandCrab
  7. Maze
  8. MedusaLocker
  9. NetWalker
  10. NotPetya
  11. Petya
  12. REvil
  13. Ryuk
  14. SamSam
  15. WannaCry
  16. Hive

1. BitPaymer

CrowdStrike Intelligenceは、オリジナルのBitPaymerを、それが2017年8月に最初に識別されて以降ずっと追跡しています。最初のイテレーションでは、BitPaymerのランサムノートには、身代金の要求と、TORベースの支払いポータルのURLが含まれていました。支払いポータルには、「Bit paymer」というタイトルが、参照ID、Bitcoin(BTC)ウォレット、連絡先のEメールアドレスとともに記されていました。このポータルの例を以下に示します。

詳細情報 -> クラウドストライクによる完全なBitpaymer分析。

2. CryptoLocker

スクリーンロッカーは、2013年にCryptoLockerとして知られているランサムウェアグループが導入された後、事実上消滅しました。CryptoLockerランサムウェアは、100万件以上の感染を起こした大規模なGameover Zeusボットネットを使用した、いわゆるBusinessClubによって開発されました。このグループは、独自のランサムウェアを開発して、ボットネットの感染したシステムのサブネットに展開することにしました。被害者への身代金要求は比較的少額(100~300米ドルの金額)で、cashU、Ukashm、Paysafe、MoneyPak、Bitcoin(BTC)などのさまざまなデジタル通貨で支払うことができました。

3. DarkSide

DarkSideランサムウェアは、クラウドストライクが追跡したサイバー犯罪(eCrime)グループCARBON SPIDERに対応するRaaSオペレーションです。DarkSideオペレーターは、従来はWindowsコンピューターを狙っていましたが、近年はLinuxにも対象を広げており、パッチが適用されていないVMware ESXiハイパーバイザーを実行しているエンタープライズ環境を標的としたり、vCenter認証情報を窃盗したりしています。5月10日、FBIは、Colonial Pipeline社のインシデントにDarkSideランサムウェアが関与していることを発表しました。後日、Colonial Pipeline社のネットワークから約100 GBのデータが盗まれ、同社がDarkSide関連グループに身代金として約500万米ドルを支払ったことが報じられました。

4. Dharma

Dharmaは、2016年以来、サービスとしてのランサムウェア(RaaS)モデルで活動しています。このモデルでは、開発者が他の犯罪者にランサムウェアをライセンス供与または販売し、その犯罪者がマルウェアを使用して攻撃を実行します。Dharmaの関連グループは業界を区別してないようです。

クラウドストライクは、Dharmaの原作者が活動を停止する前の2016年にソースコードをリリースしたことを特定しました。この脅威アクターの離脱以降、Dharmaは、独立したらしい複数のアクターによって市場で販売されてきました。これらのアクターのうち2人は2019年に活動しており、少なくとも1人は2020年1月現在も活動しています。また、PhobosランサムウェアはDharmaに触発された可能性がありますが、PhobosのコードベースはDharmaとは別物のようです。

詳細情報 -> Dharmaランサムウェアの侵入方法