RansomHouseが暗号化ツール「Mario」をアップグレード

佐々山 Tacos

2025.12.22

RansomHouseが暗号化ツール「Mario」をアップグレード

BleepingComputer – December 20, 2025

RansomHouseランサムウェアが最近暗号化ツールをアップグレードし、それ以前の比較的単純な単一フェーズから成る直線的な手法を、より複雑な多層構造の手法へと切り替えたという。Palo Alto NetworksのUnit 42が報告した。

ランサムウェア・アズ・ア・サービス（RaaS）グループであるRansomHouseは、2021年12月にデータ恐喝オペレーションとして始動。その後攻撃の中で暗号化を取り入れるようになり、「MrAgent」と呼ばれる自動化ツールを開発して多数のVMware ESXiハイパーバイザーを一度にロックする能力を有するようになったとされる。最近では、国内Eコマース大手のアスクルがRansomHouseによる攻撃を受けたことが報じられている。

Unit 42は12月17日に公開したブログ記事の中で、RansomHouseの攻撃チェーンやツールセットについて解説。暗号化ツール「Mario」の進化を中心に、同ランサムウェアのアップグレード内容を紹介した。

MrAgentにより展開されるMarioの最新種は、32バイトのメイン鍵と8バイトのサブの鍵、2つの鍵を利用した2段階の暗号化を行う。これにより、それまでの単一の鍵を利用した一度だけのファイルデータ変換と比べ、暗号化のエントロピーが高まってデータの一部を復旧するのが以前より困難になっているという。

2つ目の大きなアップグレードポイントは、新たなファイル処理戦略が導入されている点。初期バージョンのMarioは最大536,870,911バイトを閾値として、固定長のセグメントでファイルを処理するという、単純なプログラミングループを使用していた。一方で最新版のMarioは、以下の手法を用いるより堅牢なファイル処理方式を実装しており、動的にチャンクサイズを決定して断続的暗号化を行うことが可能になっているという。

8GBをサイズの閾値とする可変長のセグメント
チャンクサイズやオフセットを決定するための計算処理
特定のオフセットにある一部のブロックのみを暗号化するスパース暗号化手法

Unit 42は、それまでのような直線的な手法ではなくなっていること、処理順序の決定のために複雑な数式が使用されていること、各ファイルに関してそのサイズに応じた異なるアプローチが使用されることを踏まえ、「静的解析がこれまでよりも難しく」なっていると述べている。

アップグレード版Marioにおけるその他の注目すべきポイントとしては、メモリレイアウトとバッファ構成が改善されて複雑性が高まった点や、ファイルの暗号化が完了したことを通知するだけだった初期バージョンとは異なり、暗号化中にファイルの処理済みチャンクを表示する点、また各ファイルの暗号化が完了した際に、より詳細なサマリー情報も提供されるようになっている点などが挙げられる。

Unit 42は、Marioのアップグレードは「ランサムウェア開発における懸念すべき軌跡」を示すものだと指摘。ほかのランサムウェアグループも、こうしたより高度な手法を採用するようになり得ることを危惧しつつ、「今回のアップグレードは、次世代の複雑かつ回避性の高い脅威に対抗できる、より動的で適応性の高い戦略を採用する必要性を改めて浮き彫りにしている」と述べた。

警戒すべきものだと結論付けており、これは「ランサムウェア開発における懸念すべき方向性」を示すもので、復号の難易度を高めるとともに、静的解析やリバースエンジニアリングをより困難にしていると指摘している。

RansomHouseは比較的長期間にわたって活動を続けているRaaS（ランサムウェア・アズ・ア・サービス）オペレーションの1つだが、攻撃件数の規模という点では中堅クラスにとどまっている。しかし、高度なツールの開発を継続している点からは、量的拡大よりも効率性や回避性を重視した、計算された戦略を取っていることがうかがえるとのこと。

北朝鮮が2025年に盗んだ暗号資産額は20億ドル超、年間で過去最高に

SecurityWeek – December 19, 2025

北朝鮮のハッカーが2025年に盗み出した暗号資産の総額は20億ドル超に相当し、約13億ドル相当だった2024年の金額から大幅に増加したという。Chainalysisが新たなレポートの中で報告した。

Chainalysisのレポートによると、暗号資産を狙ったハッキングで2025年に盗まれた資産の総額は、業界全体で34.1億ドル相当。このうちの大部分にあたる15億ドル相当が、Bybitに対する攻撃で盗み出されたものだとされる。

全体の被害額34.1億ドルのうち、北朝鮮ハッカーが窃取したものと考えられているのは少なくとも20.2億ドル。これには、Bybitから盗まれた15億ドル相当の暗号資産も含まれている。また、2016年以降の全期間で見ると、北朝鮮ハッカーによる推定被害総額は67.5億ドルに達したことも報告された。

ただ、2025年における被害額自体は過去最高になったとはいえ、北朝鮮ハッカーによって実行される攻撃の頻度は減少しているという。これについてChainalysisは、Bybitへの攻撃で盗み出した資産の洗浄に専念するため、活動テンポを抑えている可能性が高いとの考えを示した。同社はまた、北朝鮮ハッカーが中国語圏のマネーロンダリングサービス、ブリッジサービス、ミキシングプロトコルを好んで使用することも伝えている。

北朝鮮による暗号資産窃取の手段としては、同国が送り込む「偽ITワーカー」を利用するものが大幅に増えているとされる。北朝鮮は暗号資産取引所、カストディアン、Web3企業などで工作員をIT要因として就労させ、インサイダーとして立ち回らせる。加えて、北朝鮮のアクターがweb3企業やAI企業のリクルーターに扮し、偽の採用プロセスを通じて認証情報やソースコードといった情報を集めるケースも増えているとのこと。

デンマーク、水道施設や政党Webサイトへのサイバー攻撃めぐりロシア大使を召喚

The Record – December 20th, 2025

デンマークは国内での選挙に先駆けて同国の水道インフラおよび複数政党を狙って実施された2つのサイバー攻撃について、ロシア政府に責任があるものとしてロシア大使を召喚したという。

今回の召喚は、12月18日にデンマーク国防情報局（DDIS）が出した声明を受けてのもの。この声明には、2024年に行われた水道施設に対する破壊的な攻撃と、2025年11月の地方選挙前に行われた複数のWebサイトへのDDoS攻撃について、ロシアとの結びつきがあるハッカーグループ「Z-Pentest」および「NoName057(16)」が実行者であるとの見解が示されている。

2024年の攻撃は、デンマークの港町Køge（キューゲ、クーエ）付近の小規模な浄水施設を標的にしたもの。ハッカーらは同施設のシステム内の圧力を操作したことで、約50世帯が数時間にわたり断水する事態となったことが報じられている。

一方で2つ目の攻撃はデンマークの複数政党のWebサイトに対するDDoS攻撃で、投票前日にこれらのサイトが一時的にオフラインとなった。NoName057(16)が、この攻撃の犯行声明を出している。

DDISは、ロシア国家が「西側諸国に対するハイブリッド戦の手段」としてZ-PentestとNoName057(16)の両グループを利用していると指摘。その目的については、「標的となった国々で不安をもたらし、ウクライナを支援している者たちを罰すること」であるとの見解を述べた。

コペンハーゲン駐在のロシア大使Vladimir Barbin氏はデンマーク外務省から呼び出されたことを認めたものの、サイバー攻撃への関与については「根拠がない」として否定。ロシアメディアに対し、「アンフェアな推測」だと語っている。加えて、ウクライナ関連のハッカーにデンマーク国内で活動することを許しているとの批判をデンマークにぶつけ、「ウクライナIT軍」がデンマークのIPアドレスを使ってロシアへのサイバー攻撃を仕掛けるのを防止するようデンマーク当局に求めた。ただ、Barbin大使自身もこの主張を裏付ける証拠を示していないとのこと。