原文のブログはこちらからご覧いただけます。
先般、Chaos ランサムウェアファミリーのひとつで、「Yashma」と改名された新バージョンのランサムウェアが作成者によって公開されました。また、オンライン上でのランサムウェアの実行犯と被害者のやり取りがきっかけとなり、Chaos の起源に関する新たな情報と、Chaos から Onyx および Yashma の亜種へとつながる系譜が明らかになりました。
当該のやり取りは Onyx の「公式」とされるリークサイト上で確認されました。そこで行われていたOnyx を操る脅威グループと直近の被害者との話し合いの場に Chaos ランサムウェアキットの作成者を名乗る人物が現れ、Onyxは単なる模倣品であり、自身が作成した Chaos v4.0 Ransomware Builder で作られたものだと非難したのです。
続いてその人物は、現在「Yashma」として知られている Chaos ランサムウェアの最新バージョンの宣伝を行いました。Chaos の作成者がこのように Onyx を模倣品と非難するとは、なんとも皮肉なものです。というのも、Chaos の初期バージョンは当初、グラフィカルユーザーインターフェイス(GUI)に悪名高い Ryuk ランサムウェアのブランドを付加することで、 Ryuk の .NET バージョンのように見せかけていたのです。このやり口はアンダーグラウンドフォーラムで極めて否定的に受け止められたため、間もなくこの作成者は自身の成果物を「Chaos」としてリブランドするに至りました。
Chaos/Yashma が特に危険なのは、その柔軟性の高さと利用のしやすさゆえです。マルウェアビルダーとして配布されているため、ビルダーを購入した脅威アクターは、自らが標的とする被害者に向けた独自のランサムウェア株を作り出すことができます。マルウェアビルダーで生成されるサンプルは侵入の痕跡(IOC)がそれぞれ異なる可能性があり、Chaos ランサムウェアによる攻撃の追跡を極めて困難にします。
次のデモ動画にて、BlackBerry がどのように Yashma の攻撃を未然に防御するかをご覧ください。ここでは、BlackBerry® 製品が Yashma の実際のサンプルに対処する様子を紹介しています。
図 2 – Chaos/Yashma の 6 バージョンすべてに対し、CylancePROTECT® が標的システムへのアクセスを未然に防ぎ、各攻撃を発生前に阻止している様子
CylancePROTECT® は、マルウェアの未然防御、アプリケーションやスクリプトの制御、メモリの保護、デバイスポリシーの適用を自動化します。AI ベースのエンドポイント保護プラットフォーム(EPP)である本製品は、サイバー攻撃を阻止し、Yashma/Chaos ランサムウェアのような巧妙化した脅威に対する防御策を提供します。
BlackBerry によるサポート
BlackBerry のインシデント対応チーム は、いかなる業種/規模の組織とも連携し、エンドポイントのセキュリティ体制を評価および強化し、ネットワークインフラストラクチャのセキュリティ、整合性、およびレジリエンスの積極的な維持を支援します。
緊急のサポートが必要な場合は、当社の 問い合わせフォームをご利用ください。
最新のサイバーセキュリティの脅威と脅威アクターの詳細については、BlackBerry 2022 年版脅威レポートをご参照ください。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・BlackBerry Japan:https://www.blackberry.com/ja/jp
・Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
・Twitter(日本語): https://twitter.com/BlackBerryJPsec
・ LinkedIn: https://www.linkedin.com/company/blackberry/
・Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
