Symantecはこのほど、「RansomHub: New Ransomware has Origins in Older Knight|Symantec Enterprise Blogs」において、成長著しいランサムウェア「RansomHub」はランサムウェア「Knight」の後継の可能性が非常に高いと報じた。ただし、ランサムウェアの運営者は別人の可能性が高いと指摘している。

  • RansomHub: New Ransomware has Origins in Older Knight|Symantec Enterprise Blogs

    RansomHub: New Ransomware has Origins in Older Knight|Symantec Enterprise Blogs

ランサムウェア「Knight」の閉鎖

「Knight」は2023年5月に初めて存在が確認されたランサムウェア。Windows、Linux、macOS、VMware ESXi、Androidなど復数のプラットフォームを標的にする。ランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)としても運営され、多くのサイバー犯罪者に利用されたとみられている。2024年2月、Knightの開発者は運営の終了を決定し、ソースコードをアンダーグラウンドフォーラムで販売した。

ランサムウェア「RansomHub」の登場

ランサムウェア「RansomHub」はKnightのソースコード販売と同じ2024年2月に存在が確認された。Symantecの分析によると、どちらもGo言語で記述されており、区別が困難なほどコードの重複が多く確認できるという。他にも身代金メモに類似点が存在することから、RansomHubはKnightのソースコードに修正を加えたものと推測されている。

Symantecの最近の調査では、RansomHubを使用する攻撃者はMicrosoftのNetlogonの脆弱性「CVE-2020-1472」を悪用し、初期アクセスを取得したことが確認されている。このとき、攻撃者はランサムウェアを展開する前に、Splashtopと統合したAteraのリモート監視および管理(RMM: Remote Monitoring and Management)ソフトウェアとNetScanを使用したという。

RansomHubは成長著しく、登場からわずか3カ月で4番目に攻撃件数の多いランサムウェアに名乗りを上げている。

  • 2024年3月から5月までのランサムウェア攻撃件数の降順 - 引用:Symantec

    2024年3月から5月までのランサムウェア攻撃件数の降順 引用:Symantec