個人のデータを盗み出すだけでは飽きたらないと言わんばかりに、攻撃対象のPCにランサムウェアを仕込むトロイの木馬型マルウェアが登場した。このマルウェアの被害に遭うと、ログイン情報を盗まれるだけでなく、PCを元通り使えるようにするために身代金の支払いを迫られる。セキュリティ企業Invinceaが米国時間9月1日に報じた。
被害者のPCから銀行情報とパスワードを盗み出すマルウェア「Betabot」は、2013年3月頃からその存在が報告されていた。当時のBetabotは、感染した「Windows」マシン上のウイルス対策ソフトやマルウェア検出ソフトを無効化したうえで、ユーザーのログイン情報や銀行情報を盗み出していた。
しかし、Invinceaのサイバーセキュリティ研究者らによると、今回発見されたBetabotの亜種はマルウェアの「新たな局面を切り開く」ものであり、パスワードを盗み出すだけでなく、第2波の攻撃として被害者のPCにランサムウェアを仕掛けるという、これまでに見られない特徴を有している。
いまだ多くのケースで検出を逃れているBetabotは、今回発見されたキャンペーンにおいて、「Neutrino」というエクスプロイトキットを用いてインストールされることが確認されている。これは、履歴書に偽装したドキュメントファイルのかたちで、被害者にマクロ実行の許可を求めるようになっている。このマクロの実行により、ウェブブラウザに格納されているログインデータとパスワードが盗み出されることになる。
従来のBetabotは、感染したPCからデータを盗み出す以外の行動はとっていなかった。しかし今回、このトロイの木馬型マルウェアは「Cerber」というランサムウェアを被害者のコンピュータにダウンロード、インストールしたうえで、マシンを元通りにするための身代金を要求するようになった。
Invinceaのサイバーセキュリティ研究者Pat Belcher氏は、「パスワード窃盗マルウェアで武装したドキュメントが、今回初めて第2波の攻撃としてランサムウェアを利用するようになった。これは攻撃対象のエンドポイントから得られる利益を最大化するための進化であり、複数の攻撃テクニックを組み合わせることでさらなる収益を得ようとするものだ」と述べている。
Cerberに感染した被害者は多くの場合、自らのファイルを元通りにするために、1ビットコイン(およそ570ドル)の身代金を支払うよう迫られる。Betabotによって盗み出されたパスワードが、ダークウェブ上において185ドルで売買されていることを考えると、身代金はデータ自体の窃盗に比べて3倍以上の利益をハッカーにもたらす計算になる。
また、データ暗号化マルウェアを被害者のPCに感染させて身代金を要求できるようにする「サービスとしてのランサムウェア」というスキームが技術に疎いサイバー犯罪者向けに提供されている。彼らが不正手段で得た利益の多くはこういったサービスの開発者らに流れている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
