2021年の主なマルウェアファミリーを掲載しました。

2014 年以来オンライン販売されているスパイウェア。
悪意のない合法的な監視ソフトウェアとして宣伝されていますが、検知を回避することを目的としたそのパスワード抽出機能により、Agent Tesla の運用者は悪意の目的に利用することが可能です。Agent Tesla のサポートチームは、マルウェアの展開方法に似た標的への感染方法をユーザーに指導しています。

このスパイウェアは、ブラウザ、電子メール、および FTPクライアントから資格情報を抽出することができます。さらに、クリップボードやウェブフォームからのデータの収集、スクリーンショットの取得、ユーザーのコンピュータからの動画録画もでき、それによってシステム コンポーネントの操作を可能にします。

2016 年から 2017 年にかけて最も拡散され、公表されたランサムウェア ファミリーの 1 つ。
ピークは 2017年初め頃で、ランサムウェアの感染全体の 25% 以上を占めていました。世界中のユーザーに感染しますが、旧ソビエト連邦諸国のユーザー (つまり、旧ソビエト圏の言語をデフォルト設定とするコンピュータのユーザー )には感染しません。

非常に人気のある RaaS (Ransomware-as-a Service) プログラムが組み込まれており、感染が成功すると、被害者の支払いからかなりの利益が得られるアフィリエイトを通じて配布されています。一般に、ドロッパーが仕込まれたドキュメントが添付されたフィッシング メールを介して感染します。被害者がドロッパーを開き、(通常は VBA マクロの実行により ) 実行すると、暗号化プロセスが開始され、完了すると身代金要求文が表示されます。バージョンによっては、セキュリティ企業から復号ツールが公開されています。

2020 年 5 月に最初に発見され、急増しているランサムウェア。
現在、亜種が最もよく見つかるマルウェアの1 つです。通常は米国および東欧に拠点を置く組織を標
的とします。特定の業種や分野を狙ったものではなく、準備不足または無防備な組織に対して使用することができます。

ロシアのサイバー犯罪グループ「Wizard Spider」によって RaaS 方式で運用されており、脆弱なファイアウォールを利用して、大規模なフィッシング メール攻撃活動を通じて、または TrickBot の二次ペイロードとして拡散されています。PE ファイル、システム ファイル、ショートカットを除く、被害者のローカル ストレージまたはリモート SMB ネットワーク上のすべてのファイルを暗号化します。また、二重恐喝活動に使用する機密データや保存されている資格情報を持ち出すこともできます。運用者は、被害者が支払いに応じなければ、盗み出した情報を特定の情報漏洩サイトで公開すると脅迫します。

2020 年 8 月に最初に発見され、主に英語圏の国にある組織を標的とするランサムウェア。
マルウェア市場の背後に存在する脅威グループは、Dark Side を RaaSとして販売しており、支払われた身代金の取り分と引き換えにランサムウェアへのメンバー アクセスを与える「アフィリエイト プログラム」を設けています。

アフィリエイトは、このギャングの行動規範を遵守することも要求され、特に医療や教育などのいくつかの分野に属する組織は攻撃対象から除外しなければなりません。攻撃者は企業ネットワークへの侵入に成功すると、その組織への攻撃が上記の行動規範に違反するかどうかを判断し、違反しない場合にのみ攻撃を継続します。

次の段階では、いくつかの機密情報を持ち出し、PowerShell を使用して被害者のコンピュータ上の複数の場所 (攻撃者が作成したネットワーク共有など ) にDarkSide ペイロード「update.exe」をダウンロードします。最初の被害者を完全に感染させた後に、脅威アクターはドメイン コントローラ (DC) への到達を目指して環境内を水平展開します。成功すると、ファイルや SAM レジストリ ハイブなどの機密情報を持ち出します。以前に作成したネットワーク共有から DC に「update.exe」をコピーし、タスク スケジューラを使用して実行時刻を設定します。加えて、今度は DC 上のさらに別のネットワーク共有にランサムウェア ペイロードをコピーし、それを使用してランサムウェアを環境内の他の標的に転送して被害の最大化を図ります。

ペイロードが実行されると、システムの言語と旧ソビエト圏諸国の言語とを比較して、そのコンピュータがこれらの国で稼働していないことを確認します。使用禁止の国で稼働している可能性があることがわかった場合、特定のセキュリティおよびバックアップ サービスを無効にし、C2 サーバーに接続し、ボリューム シャドウ コピーサービス (VSS) を無効にし、PowerShell を使用してシャドウ コピーを削除します。

Dark Side は、被害者ごとに固有のユーザー ID 文字列を生成し、それを暗号化ファイルのファイル拡張子として使用します。また、アイコンとデスクトップの背景を変更し、身代金を要求する「readme.txt」ファイルを投下します。

2021 年 3 月にはバージョン 2.0 を公開しました。これは「史上最速の RaaS」を謳い、Windows と Linux の両方の亜種があります。Linux 亜種は、VMware ESXi の脆弱性を悪用し、ネットワーク接続ストレージ (NAS) デバイスに損害を与えることができます。

2021 年 6 月には コロニアル・パイプライン社への攻撃に使用され、重要インフラストラクチャの大規模な運用停止を引き起こしました。攻撃の直後、DarkSide Web サイトは米国政府によってテイクダウンされました。旧ソビエト連邦諸国にいると思われる DarkSide の背後にいる脅威アクターは、さらなる報復を恐れ、活動を停止しました。

2014 年に出現した当初はバンキング型トロイの木馬として機能。
主に財務諸表や振り込み、支払請求書を模倣したスパム攻撃活動を介して拡散し、ほとんどは電子メールに添付されたマクロを含む Office ファイルを介して伝播します。Office ファイルのマクロを有効にしてしまった場合、悪意のある PE ファイル (Emotet) をダウンロードし、実行します。いったん実行されると、ネットワーク トラフィックを傍受して記録し、ブラウザに不正なコードを挿入してバンキング サイトにアクセスすることで、金融データを持ち出し、保存することができます。
2017 年、Emotet の運用者は、他のマルウェアを被害者のコンピュータに送り込むことを目的とするマルウェアの一種であるドロッパーとして機能するように Emotet を設計し直しました。TrickBot バンキング型トロイの木馬や Ryuk ランサムウェアなどのマルウェアは、Emotet のドロッパー機能を利用して他の無数のユーザーに感染します。

Emotet はセキュリティ対策を回避し、サーバー メッセージ ブロック (SMB) エクスプロイトまたは管理者資格情報の総当たりを利用して水平展開します。そのため、最も危険な主流のマルウェア ファミリーの 1 つとなっています。
2021 年初め、欧州刑事警察機構と欧州司法機構を中心に組織された国際タスクフォースは、世界各地に点在する数百台のサーバーで構成された Emotet のインフラストラクチャを押収し、運用者数名を逮捕しました。また、2021 年 4 月、法執行機関は Emotet インフラストラクチャを使用して、感染したシステムからマルウェアを自動的にアンインストールしました。これらの措置によりEmotet の活動はしばらく停止していましたが、2021 年11 月に新たな亜種が再び確認されました。

TrickBot に感染したマシンが新しい Emotet バイナリのダウンロードに使用されていることから明らかなように、Emotet と TrickBot の運用者の間には明確な関係が見られます。
Emotet の新たな亜種には、復号ルーチンを絶えず変更しながらの各種通信プロトコルの使用から、旧バージョンのExcel (Excel 4.0) の悪用、さらには悪意のあるマクロの実行へと変化が見られます。

ドロッパー、バックドアのほか、キーロギング、システム情報収集、プロセス操作などのスパイウェア機能を備えたモジュール式のボットネット マルウェアです (別名BASHLITE、Lizkebab、Torlus)。
主に DDoS 攻撃に使用され、ブルート フォース攻撃および IoT デバイスの脆弱性を悪用して伝播します。

2014 年に、BusyBox ソフトウェア スイートを実行しているデバイスに感染するために Shellshock の脆弱性を悪用することが確認され、一躍有名になりました。Mirai と同様に、Gafgyt のコードは 2015 年に漏洩し、さまざまな亜種が開発されています。中には、Mirai のコードを組み込んだ亜種も発見されています。今年に入って、Gafgyt の DDoS モジュールを使用してゲームサーバーを標的にした攻撃に行う「Simps」ボットネットの存在が確認されています。

2016 年 10 月、Mirai の調査中に発見されました。
通信にはピアツーピア分散ネットワークを利用するため、C2サーバーのテイクダウンまたはシンクホールが困難です。まず、既知のユーザー名とパスワードのペアの辞書を使用したブルートフォース攻撃によって脆弱なシステムに侵入します。その後、ブート時に実行される rc.dスクリプトを使用して永続性を確保します。

次に、ボットネット内の他のクライアントと共有される設定ファイルをダウンロードし、Hajime やその他のボットネット感染に通常関連するネットワーク ポートをブロックして、他の感染をブロックします。最後の段階はファイアウォールの変更と相まって特に興味深く、Hajime は悪意のある活動に関与しているようには見えません。同系統である Mirai や Gafgyt のように、DDoS 攻撃を開始することも、他のマルウェアを投下することも、「みかじめ料」を取り立てることもありません。感染に成功した後、感染したデバイスに次のメッセージを残します。

“Just a white hat, securing some systems. Importantmessages will be signed like this! Hajime Author.Contact CLOSED Stay sharp!”
(システムを守る正義の味方参上。大事なメッセージだから署名しておくよ。Hajime 開発者。連絡窓口業務終了。油断するなよ !)

さらに追い打ちをかけるように、このメッセージによって「感染した」デバイスを保護しようとしているように見せかけます。

数年前から活動しているモジュール式のバンキング型トロイの木馬。
主に米国と英国の企業を標的としています。主に金融業界を標的とし、銀行、クレジットカード会社、電子商取引資産への攻撃を目的としています。

ほとんどの IcedID は、もう 1 つのきわめて活発なバンキング型トロイの木馬である Emotet の二次ペイロードとして配信されます。実行されると、ワームのようにネットワーク上の他のマシンに伝播することができ、マシンの再起動後にのみ動作するなどの単純な回避手法を採用しています。
被害者のブラウザを操作して、バンキング Web サイトで正しい URL アドレスと有効な SSL 証明書を表示しながら、実際には資格情報の窃取を目的とする偽のWeb サイトにトラフィックをリダイレクトします。

2016 年から活動している悪名高いボットネットです。
Dyn 社、 世界最大規模の DNSオペレーター、BrianKrebs 氏の Webサイト、フランスの Web ホスティングサービス「OVH」に対する攻撃など、世界で最も破壊的なDDoS 攻撃のいくつかを引き起こしました。

IoT ルーター、CCTV-DVR、スマート TV、NAS デバイス、その他の接続されたマシンを中心に、Linux デバイスを標的とします。感染したデバイスは、ボットの「スレーブ」になり、大規模 DDoS 攻撃やクリック詐欺攻撃に悪用されます。Mirai は、インターネットとローカル ネットワークをスキャンして、悪用またはブルート フォース攻撃が可能な脆弱なインターネット接続製品を見つけることによって拡散します。そのコードは、開発者によってリリースされた 2016 年末から公開されています。以来、少し挙げただけでもSatori、Okiru、Miori、Moobot など、さまざまな亜種が出現しています。

流行している情報窃盗およびバンキング型トロイの木馬であり、2009 年から活動しています。
その主な特徴は、オンライン バンキングの資格情報をはじめとする財務情報を盗み取ることですが、追加でファイルやキー ストロークなどの個人情報を盗むこともできます。

また、ワームとしての機能も持っており、ネットワークやリムーバブル ドライブを介して拡散します。QakBot は感染したマシン上でブラウザを監視して、被害者がオンライン バンキングのWeb サイトで行う操作を検知し、資格情報を盗みます。また、感染したマシンから、IPアドレス、発信国、Cookie などのシステム情報も収集します。

QakBot の配布手法は多様です。たとえば、専用に作られたドキュメント添付ファイルから感染を広げるマルスパムという手口や、侵害したWeb サイトにエクスプロイト キットを展開し、Web サイトの閲覧者に QakBot のペイロードを送る手口などが確認されています。

Gandcrab ランサムウェアの運用が停止される直前の 2019 年 4 月に最初に発見されたランサムウェア。
Sodinokibi とも呼ばれています。以来、民間企業や政府組織を狙った注目度の高い複数の標的型攻撃に利用されています。

背後にいる攻撃者は、ゼロデイや PowerShell スクリプトの利用、特定の大企業を狙った攻撃、さらにはファイルレス攻撃など、さまざまな攻撃戦術を用いています。

2018 年 12 月に発見されたランサムウェア ファミリー。
AES-256 暗号化アルゴリズムを使用して、被害者のマシンにあるファイルを暗号化します。新たな亜種では他のアルゴリズムも確認されています。ファイルの暗号化は部分的で、それぞれのファイルデータのうち最初の 5 MB のデータだけが暗号化されます。STOP は、ファイル拡張子に基づき特定のファイルの種類 (PDF、Microsoft Office ドキュメント、データベース、写真、音楽、動画、アーカイブ、アプリケーションなど ) に狙いを定めています。暗号化されたファイルにはさまざまなファイル拡張子が付与されますが、STOP の亜種によって異なることもあります。

通常、被害を受けたファイルに付く拡張子には、「.STOP」、「.SUSPENDING」、「.DATASTOP」、「.djvu」、「.djvuq」など、さまざまな種類があります。暗号化した後、ファイルの復号と引き換えに 980 米ドル相当のビットコイン (BTC) を要求する身代金要求文を被害者に表示します。

2014 年に最初に発見され、この 8 年間で多数のボットネット群を構築しています。
開いている SSH (SecureShell) ポート 22 および Docker ポート 2375 を利用して、Linux および Docker サーバーに対するブルートフォース攻撃によって拡散します。

無保護のシステムにインストールされると、Cron エントリなどの複数の方法で永続性を確保します。また、活動を隠蔽して検知されにくくする LKM (ローダブルカーネル モジュール ) ルートキットをインストールする場合もあります。XorDDoS という名前は、C2 と通信する際に XOR 暗号化を使用することに由来します。その名が示すように、アジアで何件かの破壊的な DDoS 攻撃を引き起こしました。中国で開発され、Winnti APT グループに関係すると考えられています。

悪名高い Zeus バンキング型トロイの木馬の亜種です。
数年前に最初に発見され、それ以来、次々と進化を遂げています。活発に開発され、進化している Zloader は、主にフィッシング攻撃活動またはなりすましメールによって配布され、Ryuk ランサムウェアなどの他のマルウェアと一緒に送り込まれることもあります。Zloader ドロッパーは、Excel4 マクロやパスワード保護ドキュメントなどのさまざまな感染ベクトルや手法を駆使してシステムに感染します。

また、その他の手法も利用します。メイン モジュールは Web インジェクション、フォームグラビング、キーロギング、耐解析メカニズムで、それによってユーザーの資格情報やその他の機密情報を窃取します。Zloader のもう 1 つの重要なモジュールは VNC サーバーです。その役割は、攻撃先のマシンに Hidden VNC を確立し、攻撃者がリモート アクセスできるようにすることです。