「初心者でも扱える安価なランサムウェア」がダークウェブで大量に出回っている

ランサムウェアを用いたサイバー攻撃のニュースでは「国家の支援を受けた犯罪グループ」など高度な専門地域を有した者による犯行が報じられがちです。しかし、セキュリティ企業「Sophos」の調査では「初心者でも扱える安価なランサムウェア」が大量に出回っていることが明らかになっています。

‘Junk gun’ ransomware: Peashooters can still pack a punch – Sophos News
https://news.sophos.com/en-us/2024/04/17/junk-gun-ransomware-peashooters-can-still-pack-a-punch/

ランサムウェアを用いた攻撃は、「ランサムウェアの開発者が攻撃も実行する」というパターンと、「別の開発者からランサムウェアを購入して攻撃を実行する」というパターンがあります。ランサムウェアの販売形態はさまざまですが、近年の主流は「ランサムウェア攻撃で入手した身代金の一部を料金として支払う」という「Ransomware as a Service Explained(RaaS)」という販売形態が広がりつつあります。

しかし、Sophosが「スキルの低い犯罪グループ」が集まるダークウェブフォーラムを調査した結果、低スキル犯罪グループの多くが「買い切り型の安価なランサムウェア」を購入していることが判明しました。これらの安価なランサムウェアの中には欠陥が含まれるものや、攻撃者自身に被害を及ぼすバックドアが仕込まれているものも存在するとのこと。このため、Sophosは低スキル犯罪グループが購入するタイプの安価なランサムウェアを安価かつ粗悪な銃(ジャンクガン)に例えて「ジャンクガンランサムウェア」と呼称しています。

Sophosは2023年6月~2024年2月に4つのフォーラムで合計19種類のジャンクガンランサムウェアを発見。その中にはオープンソースで開発されている無料のものや、数十ドル(数千円)の安価なものも含まれていました。Sophosが発見したジャンクガンランサムウェアの情報は以下の通り。

名称 投稿時期 状態 価格 使用言語
CatLogs 2023年12月 販売中 不明 .NET
名称不明 2023年11月 開発中 C#
Custom RaaS 2023年7月 販売中 200ドル 不明
Diablo 2024年1月 販売中 月額50ドル 不明
Evil Extractor 2023年12月 販売中 月額99~199ドル 不明
HardShield 2023年9月 オープンソース 無料 C++
Jigsaw 2023年6月 販売中 500ドル .NET
Kryptina 2023年12月 販売中 シングルビルド:20ドル
ソースコード:800ドル
C
Lolicrypt 2023年8月 販売中 1000ドル 不明
Loni 2023年7月 販売中 月額999ドル
買い切り9999ドル
C
Nevermore 2023年10月 販売中 250ドル C#
RansomTuga 2023年6月 オープンソース 無料 C++
Yasmha 2024年2月 販売中 500ドル C#
Ergon 2023年9月 販売中 1コンパイル:0.5BTC
ソースコード:2.5BTC
不明
名称不明 2023年9月 開発中 Go
名称不明 2023年7月 販売中 1000ドル C++
名称不明 2024年1月 販売中 60ドル 不明
名称不明 2024年2月 販売中 50ドル Python
名称不明 2023年6月 販売中 500ドル 不明

Sophosによると著名なランサムウェアの多くが洗練されたロゴやインターフェースを使用しているのに対して、ジャンクガンランサムウェアは「粗雑で素人っぽいロゴやインターフェース」が使われていたとのこと。例えば、以下はLolicryptが使っているロゴです。

国内最大級の品揃え【DMMブックス】ロリポップ!
ファッション雑誌No.1 宝島社公式通販サイト『宝島チャンネル』

Sophosによると著名なランサムウェアの多くが洗練されたロゴやインターフェースを使用しているのに対して、ジャンクガンランサムウェアは「粗雑で素人っぽいロゴやインターフェース」が使われていたとのこと。例えば、以下はLolicryptが使っているロゴです。

また、Sophosによると、著名なランサムウェアはRustやGoでの開発に移行しつつあるとのこと。Sophosは「ジャンクガンランサムウェアはC#や.NETといった学習が比較的容易な言語で開発されている」と指摘し、ジャンクガンランサムウェアが比較的経験の浅いプログラマによって開発されていると推測しています。

情報元
https://gigazine.net/news/20240420-cheap-ransomware/