ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意

画像提供：マイナビニュース

一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、Undergroundランサムウェアを紹介します。
Underground ランサムウェアの特徴

Undergroundランサムウェアは、2023年7月初旬に一般公開されているファイルスキャンサイトで初めて観測されました。同年7月13日には、このランサムウェアを運用するグループのデータ流出サイトに、最初の被害が公開されています。UndergroundランサムウェアのターゲットはWindowsデバイスで、他の一般的なランサムウェアと同様、ファイルを暗号化した上でそれらを復号するための身代金を要求するランサムノート（身代金メモ）を残します。

オンライン上の情報によれば、Undergroundランサムウェアを運用しているのは、ロシアを拠点とする「Storm-0978」というグループと推測されています。このグループは「RomCom」と呼ばれるリモートアクセス型のトロイの木馬を開発・配布しており、自身もこのマルウェアを使用していることから、RomComグループとも呼ばれています。

また、このグループは、マイクロソフト製品の脆弱性（CVE-2023-36884）を悪用することでも知られています。これは、Microsoft OfficeとWindows HTMLの脆弱性であり、2023年7月11日にMicrosoftが公表し、Fortinetもほぼ同時期に「アウトプレイクアラート」で、その危険性を警告しています。この脆弱性に対するパッチは、2023年8月の月例セキュリティ更新プログラムで提供されています。

Storm-0978によるサイバー攻撃は主に、改変した正規ソフトウェアを通じて組織に侵入し、前述のRomComをシステムにインストールして、バックドア（攻撃者が侵入やデータ流出に使用する裏口）を作成するところから始まります。

CVE-2023-36884が発見されてからは、この脆弱性を悪用してバックドアを作る、という攻撃も行われていることが判明しています。Microsoftが公開したブログには、欧米の防衛関連組織や政府組織に対して、Storm-0978がこの脆弱性を悪用した攻撃を仕掛けた、と記述されています。なおこのグループはサイバー犯罪に加え、スパイ活動も行っていると指摘されています。
Undergroundランサムウェアの感染後の挙動