今、注目すべきランサムウェア「Rancoz」「Cl0p」とは

ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は、以下の2つのランサムウェアを紹介します。

Rancozランサムウェア
Cl0pランサムウェア

Rancoz ランサムウェア

Rancoz ランサムウェアは、2022年11月に最初の被害者が確認され、2023年6月にも複数の被害が認められているランサムウェアです。ターゲットへの侵入ルートはまだ明らかになっていませんが、その手口に一般的なランサムウェアとの大きな違いはありません。

感染したマシン上の情報を盗み出し、ファイルを暗号化し、被害者を脅迫し、脅迫に応じなかった被害者の情報を流出させるという、二重脅迫を行います。感染対象はWindowsマシンです。

Rancoz ランサムウェアが実行されると、まずすべてのローカルドライブ（ネットワーク経由ではなくPCに直接接続されているドライブ）を探索・リストアップし、攻撃者が指定した一部のファイルを除き、全て暗号化します。暗号化されたファイルには「.recrans」という拡張子が追加され、PCに「HOWTORECOVERYFILES.txt」というランサムノート（身代金などを記載したメモ）が残されます。またデスクトップも以下のように書き換え、このランサムノートを参照するよう促します。

前述のように、このランサムウェアは、ファイルの暗号化だけでなく、標的となったPCからかなりの量の情報を盗み出します。さらに、ファイルのバックアップであるシャドウコピーを削除するとともに、PCの設定（レジストリ）を一部書き換え、ファイルサーバなどのリモートサーバへのアクセスも阻害するため、暗号化されたファイルが復元しにくいという特徴があります。

このマルウェアに関連した亜種も見つかっています。これは「Buddy ランサムウェア」と呼ばれており、ランサムノートの名称や文面（文法上共通の誤りなど）、作成日が同じといった特徴から、Rancoz ランサムウェアの開発者と同一人物が開発したものだと推測されています。

同一開発者によるものと推測される複数のマルウェアが発見されることは、珍しいことではありません。多くのランサムウェアの亜種は、既存のランサムウェアのコードをもとに構築されることが多く、ソフトウェアの継続的な改善・強化を最も効率的に行えるのは、そのソフトウェアを開発した本人だからです。

なお攻撃者のTORサイト（リークサイト）を見ると、2023年7月までに3人の被害者が掲載されており、そこから窃取した大量の情報がすでに一般公開されています。これらの被害者の所在地は米国とカナダですが、2023年5月上旬から6月下旬にかけて、インドやフランス、リトアニアでも、このマルウェアがあるファイルスキャンサービスに提出されています。攻撃者は現在もRancoz ランサムウェアを配布中である可能性があり、日本も決して他人事とはいえません。

Cl0pランサムウェア

Cl0p（「Clop」表記も）ランサムウェアの歴史は比較的古く、2019年初頭から存在するマルウェアですが、その感染状況は現在もかなり深刻です。このランサムウェアの情報流出サイトには419の被害組織がリストアップされ（2023年7月15日時点）、米国における2023年上半期の流行状況でもトップ3にランクインしているのです。

フォーティネットはデジタルリスク保護サービス「FortiRecon」を提供しており、ランサムウェアの感染状況など多岐にわたる脅威データを収集、提供しています。ここからCl0pの活動状況も把握でき、そのインシデント数をグラフにした以下の図からは、過去2年に比べて2023年のインシデントが増えていることがわかります。

このように現在も猛威を振るっているCl0pですが、さらに注目したいのは、このランサムウェアに関与している攻撃者グループ（「FIN11」「TA505」「Snakefly」などと呼ばれている）が、Cl0pを利用した攻撃以外の活動も活発に展開しているということです。

その1つが、ファイル転送ソリューションである「MOVEit Transfer」の脆弱性を悪用した攻撃です。日本ではMOVEit Transferを使っている企業や組織は多くないようですが、米国では政府機関等で広く活用されています。

MOVEit Transferの脆弱性は2023年5～6月にかけて報告され、2023年5月27日にはFIN11によるゼロデイ攻撃（脆弱性に対する修正プログラムが配布される前に行われる攻撃）が展開されていたことがわかっています。この攻撃では、Cl0p ランサムウェアの痕跡は見つかっていません。

金銭を要求する方法も変化しています。これまでのCl0p では「情報窃取」「暗号化」「脅迫」「情報公開」という、一般的な二重脅迫型ランサムウェアと同様でしたが、MOVEit Transferへの攻撃では暗号化を行っていません。この攻撃ではシンプルに、「情報窃取」「脅迫」「情報公開」という戦略にシフトしているのです。

このグループが悪用した可能性がある脆弱性は、MOVEit Transferの脆弱性以外にも数多くあります。また侵入に使うツールも多岐にわたっており、スピアフィッシングを行うことでも知られています。不特定多数のターゲットに対して偽メールや偽SMSなどを送り、悪意のあるサイトに誘導する攻撃手法をフィッシングと言いますが、これを特定の標的に狙いを定めて実施することをスピアフィッシングと言います。

かなり高度な技術力を持つサイバー犯罪者集団と目され、2021年6月には一部のメンバーが逮捕されていますが、その活動は衰えていません。

このグループの活動目的は、あくまでも金銭の取得にあり、彼らのTORサイトには、主な動機は金銭的な利益であり政治的な動機はない、と記載されています。またターゲットの中に営利目的の製薬会社を含む一方で、病院や公共機関は攻撃しないとも述べています。

今回戦略が変更されたのは、ファイル暗号化に対する身代金要求よりも、情報公開に対する身代金要求の方が、効果が高いと判断したためだと考えられます。金銭取得という明確かつ強い動機があることも、このグループの大きな特徴と言えるかもしれません。