BlackLock：即座に身代金の支払いを要求する、極めて危険なランサムウェアグループについて研究者が警告

nosa

2025.02.19

2月19日：サイバーセキュリティ関連ニュース

BlackLock：即座に身代金の支払いを要求する、極めて危険なランサムウェアグループについて研究者が警告

Cybernews – February 18, 2025

2024年3月に初めて特定されたBlackLockランサムウェアが密かに活動を加速させ、サイバー脅威の分野で注目すべき名前になりつつあると、サイバーセキュリティ企業Reliaquestが報告。同グループはWindowsだけでなくVMware ESXiおよびLinuxにも対応した暗号化ツールを使い、幅広い業界・地域の組織をターゲットにしているという。

ランサムウェア・アズ・ア・サービス（RaaS）エコシステム内で急速に台頭しているBlackLockは、2025年に最も活発なランサムウェアグループになる可能性があるようだ。Reliaquestの調査結果によると、同グループは被害者のデータを暗号化する前に盗み出し、これを公開すると脅して身代金を要求する二重恐喝戦術を採用。活動量は2024年第4四半期に1,425％増加し、全体で7番目に活発なランサムウェアグループに成長した。

また、ロシア語のサイバー犯罪フォーラムRAMPを主な活動拠点としていることや、ほかのグループとは一線を画す特徴と戦術を備えていることもわかっている。リークされたBabukまたはLockBitビルダーで攻撃を仕掛ける競合グループとは違い、BlackLockはカスタムマルウェアを自ら作成。リークサイトも独自のものを使用し、研究者の話では「標的組織に侵害の範囲を評価させないためと思われる機能」を詰め込んで「迅速に身代金を支払うよう圧力を強めている」という。

専門的なスキルを持つハッカーを盛んにリクルートして攻撃に参加させている点や、リークされたビルダーのようにコードを分析して対策を練ることができないカスタムマルウェアを使っている点は、BlackLockへの対策を複雑にする要素となり得る。Reliaquestはブログ記事の中で、この新進の脅威から自組織を守るための推奨事項やアプションプランを提供し、注意を呼びかけている。

新種のマルウェアFrigidStealerが偽のブラウザ更新で拡散される　標的はmacOSユーザー

The Hacker News – Feb 18, 2025

サイバーセキュリティ企業ProofpointはThe Hacker Newsと共有したレポートで、Webインジェクションを使ってmacOSユーザーに新種のマルウェア「FrigidStealer」を配布する新しいキャンペーンについて警告している。

この活動の首謀者は、これまで文書化されていなかった脅威アクターTA2727とされている。Proofpointの脅威調査チームによると、同グループは偽のアップデートをテーマにしたルアーを利用し、多様なマルウェアペイロードを配布。金銭獲得を目的とし、WindowsやAndroidといったOS向けにもほかの情報窃取ツール（前者にLumma StealerまたはDeerStealer、後者にMarcher）を拡散しているようだ。

FrigidStealerの特徴はmacOSを狙った各種スティーラーとほぼ同じで、AppleScriptを利用してユーザーにシステムパスワードの入力を促し、昇格された権限を獲得。その後にWebブラウザ、Apple Notes、暗号資産関連アプリからファイルやあらゆる機微情報を収集する。インストーラーはほかのmacOSマルウェアと同様、署名されていないアプリをユーザーに起動させてGatekeeper保護を回避すると、埋め込まれたMach-O実行ファイルを実行してマルウェアを送り込む。