カスペルスキーが「Mallox」調査レポート、本格的なRaaSへと変化し警戒が必要に

記事の画像

　カスペルスキーは、急速に広まりつつあるランサムウェア「Mallox」の調査レポート「Mallox Ransomware：In-Depth Analysis and Evolution」を発表した。Malloxの詳細な分析結果を解説するとともに、独自で運用していた攻撃方法から本格的なRaaS（Ransomware-as-a-Service：サービスとしてのランサムウェア）へと変化し、引き続き警戒が必要だとしている。　これまでMalloxは、主に特定の国を標的としており、日本ではまだ攻撃は確認されていなかったが、最近ランサムウェアによる攻撃が相次いでいる。Malloxを使用した攻撃は2021年上半期に開始され、同年5月に暗号化されたサンプルが見つかり、当初は標的を限定してマルウェアをカスタマイズし、人が手動で操作し攻撃を行っていた。この脅威は急速に進化し、21年から24年半ばまでの間に700件以上の新規サンプルを特定。活動が急増した主な理由は、Malloxを使った攻撃がRaaSモデルに移行したことが挙げられる。Malloxを使用する攻撃のオペレーターは、ダークウェブ上のフォーラムを通じてアフィリエイトやパートナーを募集し、積極的に活動を拡大してきた。

　このオペレーターは23年1月、本格的なRaaSアフィリエイトプログラムを立ち上げ、影響範囲を広げるために、スキルの高い「ペンテスター」を積極的に募集した。アフィリエイトプログラムは、有利な利益分配条件を提示して多くのサイバー犯罪者を引きつけ、Mallox関連の攻撃が目に見えて増加する一因となった。また、Malloxの暗号化スキームの高度化は著しく、開発者がランサムウェアの効率向上のために継続的に技術革新に取り組んでいることが明確になった。

　主な感染経路として、MS SQL ServerやPostgreSQLサーバーの脆弱性を悪用することが判明し、Malloxの適応性と幅広い業種にとって脅威となることを示している。現時点では、特定の地域を集中して標的にする傾向があり、ブラジル（19％）、ベトナム（13％）、中国（11％）、インド（4％）、ロシア（4％）の企業が最も頻繁に攻撃を受けているほか、攻撃の件数は少ないがサウジアラビア、レバノン、コロンビア、トルコ、米国でも脅威にさらされている、としている。