利害一致：RansomHubとライバル組織がEDRKillShifterツールを共有

nosa

2025.03.27

3月27日：サイバーセキュリティ関連ニュース

利害一致：RansomHubとライバル組織がEDRKillShifterツールを共有

Help Net Security – March 26, 2025

ESETの研究者Jakub Souček氏がランサムウェアランドスケープの大きな変化に関する詳細な分析を発表し、ランサムウェア・アズ・ア・サービス（RaaS）のRansomHubが急速に勢力を伸ばしていると警告した。

ランサムウェアの実態について調査を行ったSouček氏は、2024年にそれまでの2大勢力だったLockBitとBlackCatが姿を消す一方、前者と入れ替わるようにRansomHubが台頭してきたと指摘。ランサムウェアグループのリークサイトに昨年掲載された被害者数が約15％増加した要因として、この比較的新しいRaaSの存在を挙げた。

RansomHubがロシア語の不法フォーラムRAMPに初めて広告を掲載したのは2024年2月で、その8日後には被害者に関する最初の投稿が行われた。旧ソ連の独立国家共同体、キューバ、北朝鮮、中国への攻撃を禁止しているRansomHubにはユニークな特徴があり、アフィリエイトは身代金の全額を自らのウォレットで受け取ることができる。この仕組みは、アフィリエイトからこの身代金のうち10％を共有してもらえるだろうというオペレーター側の「信頼」によって成り立っているという。

また、昨年5月には重要なアップデートが行われ、EDRKillShifterという独自のEDRキラーが導入され、アフィリエイトに提供されるようになった。EDRキラーとは、主に脆弱なドライバーを悪用し、被害者のシステムにインストール済みのセキュリティ製品を終了・無効化・クラッシュさせる特殊なマルウェア。EDRKillShifterもこの種のマルウェアに典型的な機能を備えており、開発および保守をRansomHubが自ら行っているとされる。

さらにESETは、RansomHubのアフィリエイトがライバルグループ3組（Play、Medusa、BianLian）のために活動していることも突き止めている。Medusaの場合こうした「掛け持ち」自体は珍しくないが、閉鎖的と言われるPlayとBianLianがEDRKillShifterにアクセスできる理由としては、両グループの信頼できるメンバーが敵対組織、さらにはRansomHubのような新興組織とも協力し、ライバルから受け取ったツールを自分たちの攻撃に再利用していることが考えられるようだ。なお、Playは北朝鮮の国家支援型APTグループAndarielと関連づけられている。

英当局、10代少年たちの「加虐的な」オンラインネットワークによる新たな脅威を警告

The Record – March 26th, 2025

英国家犯罪対策庁（NCA）が戦略的評価を発表し、「他人に危害を加え、さまざまな犯罪を犯すことに特化した」10代少年たちのオンラインネットワークが英国の法執行機関にとって最も重大な懸念の1つになっていると警鐘を鳴らした。

NCAは英米など英語圏の国を拠点とするサイバー脅威が2023年と比べて増加していると指摘し、その要因として「The Com」と呼ばれる英語話者のオンラインネットワークを挙げた。このネットワークを構成するのは主に10代の少年たちで、加虐的かつ女性蔑視的なコンテンツを共有し、同年代かそれ以下の人々を標的にする「新世代のサイバー犯罪者」と説明されている。

同庁によると、The Comはオンライン・オフラインの双方で犯罪者をサイバー攻撃や詐欺、過激主義、深刻な暴力、児童性的虐待など幅広い犯罪行為に加担させ、競い合わせているという。その脅威に関する報告は2022年から2024年にかけて6倍に増加しており、11歳の少女が脅迫された事例も確認されているようだ。

NCA長官のGraeme Biggar氏はこの問題を「非常に複雑で、深く憂慮すべき現象」と表現し、「これらのグループはダークウェブに潜んでいるのではなく、若者が日常的に使用するオンラインの世界やプラットフォームに存在している。特に、自傷行為をするよう仕向けられ、場合によっては自殺をそそのかされる少女たちに及ぼす影響は憂慮すべきものだ」と付け加えた。