-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月25日:サイバーセキュリティ関連ニュース
新ランサムウェア「VanHelsing」がWindows、ARM、ESXiシステムを標的に
BleepingComputer – March 24, 2025
Windows、Linux、BSD、ARM、ESXiの各システムを攻撃することのできる新たなマルチプラットフォーム対応RaaSオペレーション「VanHelsing」について、CYFIRMAとCheck Point Researchが報告。同ランサムウェアは3月7日からアンダーグラウンドのサイバー犯罪プラットフォームで宣伝され始めたという。
VanHelsingはランサムウェア・アズ・ア・サービス(RaaS)の形式で運営されており、経験豊富なアフィリエイトには無償で参加を許可している。一方で経験の少ない脅威アクターは5,000ドルのデポジットを支払わなければ同ランサムウェアを使用できない。攻撃が成功して被害者から身代金(Check Pointの調査によると金額は50万ドル)が支払われた場合、その80%がアフィリエイト、20%が運営陣の取り分になるとされる。Check Pointによれば同RaaSはロシアのサイバー犯罪プロジェクトで、CIS(独立国家共同体)の国々にあるシステムを攻撃することは禁じられているという。現時点でダークウェブ上の恐喝ポータルサイトには3組の被害組織が掲載されており、うち2組が米国、1組がフランスを拠点とする組織。
VanHelsingのランサムウェア自体はC++で書かれており、最初に実際の攻撃でデプロイされたのは3月16日であるとみられている。ファイルの暗号化にはChaCha20アルゴリズムを利用し、各ファイルに対して32バイト(256ビット)の共通鍵と12バイトのノンスを生成。これらの値を埋め込まれているCurve25519の公開鍵で暗号化して、それを暗号化された当該ファイル内に保管する。そのほか、同ランサムウェアの特徴として以下のような点が報告されている。
- 1GBより大きいファイルは部分的に暗号化を行い、それ以下の場合はフルで暗号化する。
- リッチなCLIカスタマイズに対応しており、ターゲット組織に応じて攻撃手法を調整することができる。(例:特定のドライブやフォルダを狙う、暗号化の対象範囲を制限する、シャドウコピーの削除工程をスキップする、など)
- 暗号化にはノーマルモードとステルスモードが存在。ノーマルモードではファイルとフォルダが列挙され、ファイルのコンテンツが暗号化されたのちに「.vanhelsing」という拡張子でファイルがリネームされる。
- ステルスモードでは暗号化とファイルリネームが切り離され、ファイルのI/Oパターンが通常のシステムの挙動を真似たものになるため、セキュリティソリューションなどによるアラートを発動させにくくなるとされる。
VanHelsingは高度かつ急速に進化中のランサムウェアに思えるものの、Check Pointはコードの未熟さを露呈させるような欠陥が数件見受けられると指摘。ファイルの拡張子にミスマッチがあることや、二重の暗号化を引き起こす可能性のある除外リストロジックのエラーなどがその例として挙げられている。ただ、こうしたエラーが存在するとはいえ、VanHelsingは今後脅威アクターたちから人気を集め始める可能性もあることから、懸念すべき新たな脅威として注視しておいても損はなさそうだ。
Albabatランサムウェアが標的を拡大、GitHubを悪用
新たに特定されたAlbabatランサムウェアの新バージョンはWindowsに加えてLinuxとmacOSシステムも狙えるようになって可能性があるほか、コンポーネントをGitHubから呼び出すようになっているという。トレンドマイクロが調査結果を報告した。
Albabatは2023年から「White Bat」として活動してきたランサムウェアで、当初は偽のアクティベーションツールやチートソフトを介してWindowsシステムへの侵入を試みていた。攻撃対象プラットフォームの拡大を示唆する最初の兆候が観測されたのは2024年1月。Fortinetが、Albabatが感染したシステム上に投下したデスクトップ用壁紙がLinuxに言及するものだった旨を報告し、同ランサムウェアがさらにほかのOSも攻撃できるようクロスコンパイルされている可能性について注意喚起していた。
そんな中、今回新たにリリースされたトレンドマイクロのレポートでは、世に出回っているのが見つかった最新のAlbabatランサムウェアサンプルが、LinuxおよびmacOSシステムから情報を窃取できるものだったことが報告されている。またサンプルのコンフィグレーションファイルには、両OS向けのコマンドが含まれていたとされる。
さらにトレンドマイクロによれば、この新たなバージョンのAlbabatは自らのコンフィグレーションファイルおよびその他のコンポーネントを、非公開のGitHubリポジトリ(billdev.github.io)からGitHub REST APIを使って呼び出すという。このリポジトリは「Bill Borguiann」という名前で登録されたアカウントによって2024年2月に作成されたもので、最新のコミットは2025年2月に行われるなど、開発が続いていることが示唆されている。
トレンドマイクロはこのコンフィグレーションファイルをデコードした結果、Albabatバージョン2が以下のような挙動を取ることがわかったと報告している。
- ファイルの暗号化時、Searches、AppData、$RECYCLE.BINなど数十種類のフォルダを無視する
- ~$、.src、.ico、.cur、.theme、.themepack、.bat、.comのほか、多様なファイル拡張子を標的にする
- ntuser.dat、ntuser.ini、iconcache.db、Thumbs.db、.DS_Storeのファイルはスキップする
- オペレーションに干渉する恐れのあるプロセス(taskmgr.exe、processhacker.exe、regedit.exeなど数十種)を終了させる
- 被害者のマシンから盗み出されたデータは、リモートのPostgreSQLデータベースに保管される
トレンドマイクロは、すでに出回っている最新のサンプルがバージョン2である一方、前述のGitHubリポジトリ内のコンフィグレーションファイルにはバージョン2.5への言及があるとして、Albabatの開発は続いていると注意を呼びかけた。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
