Rhysidaランサムウェア:頭角を現し始めた新参RaaSの概要
今年5月に初めて観測された新進のランサムウェアグループであるRhysidaについてSentinelOneがブログ記事を公開し、同グループの概要や技術的詳細などについて解説。当初は胡散臭いRaaSグループと思われていたRhysidaであったが、5月末にチリ軍を攻撃し、6月15日に同軍から盗んだデータをリークした一件は大きな注目を集めた。その被害者は着々と増え続けていることから、Rhysidaは本格的にランサムウェアオペレーションに乗り出しているものと思われる。
Rhysidaランサムウェアグループの概要
Rhysidaは2023年5月に初めて観測されたランサムウェアグループで、既知のフォーラムには頼らずに私的に売り出されているランサムウェア・アズ・ア・サービス(RaaS)。「Rhysida(リシダ)」とはムカデの属名を指しており、同グループの被害者向けブログサイトにも、ムカデのような生き物の画像が使用されている。
このグループは自らを「サイバーセキュリティ・チーム」と位置づけており、被害者のシステムを攻撃することでセキュリティ上の問題によって生じ得る潜在的な影響を浮き彫りにし、被害者を手助けしているのだと主張している。ただ、このようなユニークな体裁を取る一方で、盗み取ったデータを一般公開すると被害者を脅すという点は、その他の恐喝グループと変わらない。
なお、Rhysidaは独立系ランサムウェアグループであるものとみられ、同グループと既存のランサムウェアオペレーションとのつながりは観測されていないという。
Rhysidaランサムウェアの標的
Rhysidaランサムウェアのリークページには、以下のような業界の組織が複数掲載されている。前述のチリ軍への攻撃のほか、マルティニーク政府への攻撃によって大きな混乱をもたらしたことも注目を浴びた。
・教育
・政府
・製造
・テクノロジーおよびマネージドサービスプロバイダー(MSP)
これらの被害者の所在地は西ヨーロッパ、北米、南米、オーストラリアなどで、東ヨーロッパや中央アジアの独立国家共同体の組織は狙われておらず、また現時点ではアジアの組織は標的になっていない模様。
一風変わったランサムウェア、Rhysida
Rhysidaは、ランサムノート(身代金要求メモ)をPDF形式で生成したり、被害者システムの壁紙を変更する機能を有していたりなど一風変わったテクニックを組み合わせて使用している。このことから、Rhysidaの開発者は、同時代の他のランサムウェアの枠にとらわれない発想を持っているであろうことが窺える。このため、まだ登場間もないグループで経験不足な面も見受けられるものの、その動向に注目しておく価値はあるかもしれない。
(情報源:SentinelOne ”Rhysida Ransomware | RaaS Crawls Out of Crimeware Undergrowth to Attack Chilean Army”)
6月30日:その他の注目ニュース
親ロシア派ハクティビストプロジェクト「DDoSia」のメンバーが2,400%も増加
Bleeping Computer – Jun 29 2023 15:40
親ロシア派のクラウドソーシング型DDoSプロジェクト「DDoSia」が急成長中で、昨年夏に親ロシア派ハクティビストグループ「NoName057(16)」によって立ち上げられて以来、1年足らずでメンバー数が24倍にも膨れ上がっているという。各メンバーには攻撃ツールの含まれたZIPファイルが配布され、これにより大規模なDDoS攻撃が行われることになる。
被害者に関しては、セコイア社の調べによると、2023年5月8日から6月26日にかけて、DDoSiaは合計486ものWebサイトを標的にしており、そのうち39%をリトアニア、ウクライナ、ポーランドのサイトが占めていたという。また、ワグネルグループがロシア政府に対する武装蜂起を試みた6月24日には、ワグネルの2つのWebサイトがDDoSiaの標的となったことも注目に値する。DDoSiaは通常、1日あたり平均15のサイトを狙うとされるが、24日は総力を上げてワグネルのサイトのみを攻撃していたという。
DDoSiaは成長を続けており、その規模はすでに標的に対して重大な影響を与えるのに十分なものになっているようだ。