Cybleは11月18日(米国時間)、「Cyble — AXLocker, Octocrypt, and Alice: Leading a new wave of Ransomware Campaigns」において、新たなランサムウェアキャンペーンが複数展開されているとして、注意を呼び掛けた。同社は、「AXLocker」「Octocrypt」「Alice」と呼ばれる新たな3つのランサムウェアを発見し、どのように動作するのかを紹介した。

  • Cyble — AXLocker、Octocrypt、and Alice: Leading a new wave of Ransomware Campaigns

    Cyble — AXLocker, Octocrypt, and Alice: Leading a new wave of Ransomware Campaigns

AXLockerは被害者のファイルを暗号化し、感染したマシンからDiscordトークンを窃取するランサムウェアとされている。コードの分析により、startencryption()関数が、Cドライブ上の利用可能なディレクトリを列挙することによってファイルを検索する機能を実装していることが明らかにされている。また、特定のファイル拡張子のみを対象とし、暗号化プロセスからディレクトリのリストを除外するよう設計されていることが判明している。

  • Static file details of AXLocker ransomware - Cyble

    Static file details of AXLocker ransomware - Cyble

Octocrypt は、すべてのWindowsをターゲットにしている新しいランサムウェアとされている。ランサムウェアの構築ツール、暗号化ツール、復号ツールはGolangで記述されており、ランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)によって提供されている。このランサムウェアは暗号化と復号を構築するためのシンプルなWebインタフェースを持ち、Webパネルには感染した被害者の詳細も表示されるという。

  • Post Made by the Octocrypt developer on Cybercrime Forum - Cyble

    Post Made by the Octocrypt developer on Cybercrime Forum - Cyble

さらに、Aliceと名付けられた新しいランサムウェアがサイバー犯罪フォーラムに登場している。AliceランサムウェアもRaaSによって動作するとされている。

  • Alice ransomware post shared by TA on a Cybercrime Forum - Cyble

    Alice ransomware post shared by TA on a Cybercrime Forum - Cyble

ランサムウェアは、企業、個人だけでなく政府機関に対しても深刻なリスクを与え続けている。組織はサイバー犯罪者が使用する手法の先を行き、必要なセキュリティのベストプラクティスとセキュリティコントロールを導入する必要があると伝えられている。