2024年6月は「バックドアを仕掛けるマルウェア」が猛威を振るう チェック・ポイント・ソフトウェア・テクノロジーズ：「LockBit3」の活動は沈静化

チェック・ポイント・ソフトウェア・テクノロジーズは、2024年6月の世界脅威インデックスを発表した。6月のインデックスでは、RaaSの状況の変化が報告されている。LockBit3については潜在的な被害者の減少を示したものの、その代わりに他の脅威アクターによる被害の報告が増加している。

[＠IT]

　チェック・ポイント・ソフトウェア・テクノロジーズは2024年7月19日、同年6月のGlobal Threat Index（世界脅威インデックス）を発表した。それによると「RaaS」（Ransomware as a Service）の状況に変化が見られるという。

チェック・ポイント・ソフトウェア・テクノロジーズのWebページから引用

高度な難読化技術とアンチサンドボックス技術で検知を回避している

　ランサムウェアグループの中でも危険度が高いとされているのが「LockBit3」だ。2024年2月に法執行措置が実施された後は被害は減少傾向にあり、同年4月の被害数は過去最低の27件だった。同年5月には被害数が170件と増加したものの、6月には再び20件を下回っている。だが、チェック・ポイント・ソフトウェア・テクノロジーズによると「LockBit3の関連組織が他のRaaSグループの暗号化ツールを使っており、別の脅威アクターによる被害として報告されるケースが増加している」という。

　チェック・ポイント・ソフトウェア・テクノロジーズのリサーチ担当VP（Vice President）を務めるマヤ・ホロウィッツ氏は、「LockBit3に対する執行措置は、望ましい影響をもたらしたようだ。しかし、LockBit3が衰退しても主導権が他のランサムウェアグループに移っただけであり、彼らは世界中の組織に対してランサムウェアキャンペーンによる攻撃を続けていくだろう」と述べている。

　マルウェアそのものの動きとしては、過去数カ月にわたって活発に活動している「FakeUpdates」（別名SocGholi）が注目されている。チェック・ポイント・ソフトウェア・テクノロジーズの調査によると、新たに「BadSpace」と呼ばれるバックドアマルウェアを配信していることが分かった。同社はFakeUpdatesについて次のように説明している。

　「第三者のアフィリエイトネットワークがFakeUpdatesの拡散を促進している。アフィリエイトネットワークは危険なWebサイトからのトラフィックをFakeUpdatesのランディングページにリダイレクトし、Webブラウザのアップデートファイルに見せかけたファイルをダウンロードするよう促す。このダウンロードには『JScript』のローダーが含まれており、BadSpaceバックドアをダウンロードして実行する。BadSpaceは、検知を回避するために高度な難読化技術とアンチサンドボックス技術を採用しており、スケジュール化されたタスクによって持続的に稼働を維持する。そのコマンドとコントロール通信は暗号化されているため、傍受は困難だ」