12月21~23日:サイバーセキュリティ関連ニュース
米国、ロシアとイスラエルの二重国籍持つ男を刑事訴追 LockBitランサムウェアの開発に関与した疑い
Security Affairs – December 22, 2024
ロシアとイスラエルの二重国籍を持つRostislav Panev容疑者(51)が、LockBitランサムウェアの開発に関与した疑いで今年8月にイスラエルで逮捕され、今後米国へ身柄を引き渡されることが明らかになった。
この容疑者は、2019年から遅くとも2024年2月までLockBitランサムウェアの開発に関与していたとされ、他の開発者と共に同マルウェアおよびインフラの開発と管理を任されていたという。
訴状によると、法執行機関は同容疑者のコンピューター上で、ダークウェブでホストされていたオンラインリポジトリの管理者資格情報を発見。このリポジトリには、LockBitビルダーのさまざまなバージョンのソースコードが保存されており、アフィリエイトがこれを使って、特定の標的に向けたカスタムビルドのランサムウェアを生成できるようになっていたという。このほか、アフィリエイトが攻撃で盗んだ情報を外部に持ち出すのに役立つツール「StealBit」のソースコードや、アフィリエイト向けにLockBitの開発者が管理しているコントロールパネルへのアクセス認証情報も見つかったとのこと。
また同容疑者は、LockBitのリーダーとされるDmitry Khoroshev被告と、ランサムウェアツールの開発について連絡を取り合っていたとされ、2022年〜2024年にかけてKhoroshev被告から総額23万ドル以上の資金洗浄済みの暗号通貨を受け取っていたという。
同容疑者はLockBitグループでコーディング、開発、コンサルティングに携わったことを認めている。
BadBoxが急速に拡大 19万台ものAndroid端末が感染被害に遭う
Security Affairs – December 21, 2024
Bitsightの研究者はBadBoxマルウェアの新たなインフラを発見した。同社のテレメトリーデータによると、19万2,000台もの端末がBadBoxボットに感染しているという。感染したデバイスのほとんどはロシア、中国、インド、ベラルーシ、ブラジル、ウクライナに存在するとのこと。
BadBoxはデバイスの出荷時にあらかじめインストールされるマルウェア。偽情報を拡散するためにEメールやメッセージングアカウントを作成し、追加のペイロードもダウンロードすることができる。またバックグラウンドで各種Webサイトにアクセスして広告詐欺を行い、住宅用プロキシとして動作する上、ユーザーのインターネット接続を共有することから、ユーザーのIPアドレスが不法行為に結びつけられることがある。
今月前半には、ドイツ当局がBadBoxに感染したデバイス3万台とC2との間の通信を遮断したと発表したばかり。しかしBitsightによると、このボットネットには、これまで確認されていなかったデバイスが16万台関与しているという。注目すべきは安価なAndroid TVボックスだけでなく、YandexやHisenseのような有名ブランドのスマートTVや、スマートフォンもその中に含まれていることだ。大手ブランドのスマートTVが、BadBoxのC2ドメインと直接大量の通信を行う様子が観測されたのは初めてだという。
BitSightは結論として、BadBoxの活動から、マルウェア拡散のためにグローバルサプライチェーンを利用するサイバー犯罪者らの手口がいかに磨きのかかったものかを伺い知ることができると述べた。またこのマルウェアは今回特に多くの感染デバイスが見つかったロシアと中国に限らず、あらゆる国、そしてほとんどのAndroid端末に影響を及ぼすものだと注意も呼びかけている。
【無料配布中!】ランサムウェアリークサイトの分析レポート
ランサムウェアレポート:『リークサイト統計に見るランサムウェアグループの傾向』
さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポート『リークサイト統計に見るランサムウェアグループの傾向』を、以下のバナーより無料でダウンロードいただけます。
<レポートの目次>
- 要点
- 掲載件数:全世界と日本の比較
- グループ別内訳:全世界と日本の比較
✔️特筆すべきトレンド
⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
⚪︎LockBitと8Base
⚪︎Clopは減少も、2023年には急増を観測 - 業界別内訳:全世界と日本の比較