ビジネスパーソンが押さえておくべきランサムウェア最新動向 第13回 Linuxも標的にするAbyss Lockerランサムウェアに注意

画像提供：マイナビニュース

ビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、「Abyss Lockerランサムウェア」「RA Worldランサムウェア」を紹介します。
WindowsとLinuxを狙う「Abyss Lockerランサムウェア」

Abyss Lockerランサムウェアが最初に報告されたのは、サンプルが一般公開されているファイルスキャンサービスに提出された2023年7月でした。その後、2024年1月初旬にWindowsシステムを標的とする「バージョン1」が発見され、同月末にはWindowsとLinuxを標的とする「バージョン2」が発見されています。

このランサムウェアは、被害者のデータを盗み出したうえで、ファイルの暗号化を行う「二重恐喝型」であり、ボリュームシャドウコピーやシステムバックアップを削除する機能も備えています。

暗号化されたファイルには「.abyss」という拡張子が付加され、以下のような「WhatHappened.txt 」というランサムノートを残します。

なお、Windows版のバージョン1とバージョン2の違いはランサムノートに記載されるバージョン名とTORサイトのアドレスが異なる程度で、調査時点でアクセスできたのはバージョン2のTORアドレスのみでした。

このTORサイトは、データ流出サイトではなく身代金交渉サイトとなっています。一般的なランサムウェアとは逆に、身代金の要求額が企業向けには低く、個人向けには高く設定されていますが、この真意は不明です。

なおAbyss Lockerランサムウェアは、HelloKittyランサムウェアのソースコードに基づいていることがわかっています。HelloKittyランサムウェアは2020年末に最初に登場したランサムウェアファミリーです。

その後、急速に進化し、現在でも全世界で広く利用されているランサムウェアであり、2023年10月にはそのソースコードが、ロシア語圏のハッキングフォーラムで公開されている、という報告もありました。同じくAbyss Lockerのサンプルも広い地域で利用されており、北米や南米、欧州、アジアなど、さまざまな地域から報告されています。
二重恐喝型の「RA Worldランサムウェア」

RA Worldランサムウェアは、2023年12月初旬に初めて報告されたランサムウェアです。これも被害者のデータを盗み出した後にファイルの暗号化を行う「二重恐喝型」であり、ボリュームシャドウコピーとシステムバックアップを削除する機能も備えています。