「サノス（Thanos）」と呼ばれるランサムウエアが話題になっています。サノスは今年2月以来、ダークネット上で広まった新たな「ランサムウェア・アズ・ア・サービス（RAAS）」であり、レコーデッドフューチャー（Recorded Future）社のリサーチ部門であるインシクトグループ（Insikt Group）が6月10日に明らかにしました。

サノスは本来マルウエアを回避するRIPlace技術を悪用

企業のコンピューターがRAASに感染すると、ファイルの回復の代償として60-70％の利益を収益分配方式でハッカーが受け取るという特徴があります。

インシクトグループ運用成果部長であるリンジー・ケイ（Lindsay Kaye）氏によると、サノスはファイル暗号化処理に当たって、本来マルウエアを回避するはずのRIPlace技術を初めて悪用していることが分かりました。この技術は情報セキュリティ企業Nyotronが開発したものですが、脅威アクターがこの技術を初めてランサムウエアに利用したものがサノスです。

同社はこのランサムウェアに対して次のように警告しています。

「ランサムウェア攻撃が成功すれば、企業は大きく弱体化する。サノスは初期設定でAES（米国の標準化暗号方式）暗号化キーを利用して、ファイルの回復を不可能にしています。サノス攻撃のリスクを最小化するために組織は、ランサムウエアの脅威を軽減するため最新かつ実行力のある情報セキュリティを用いなくてはならない」

サノスは2019年10月末からネット上に登場

サノスは2019年10月末、初めてネット上に流布しました。大方のランサムウェアはC#（シーシャープ）と呼ばれるプログラミング言語を利用していますが、サノスは多くの最先端機能を駆使しています。例えば暗号化されていな組み込みファイルスティーラー、自動的な感染拡大、RIPlace利用による回避技術などがそれです。

一般的なランサムウエアは、コンピューターのクラウドバックアップもしくは遠隔地への手作業によるファイル抽出を実行し、身代金が支払われない場合、ファイルをデータリークサイトに露出すると脅します。サノスはさらに、横移動を支援する攻撃的なセキュリティツールであるSharpExecを利用して、奪ったファイルを他のコンピューターに転送する機能すら備えています。

犯罪者は、新しい技術と戦術を駆使して、ランサムウェアを一段と精巧にしています。彼らはまた、マルウエアの性能を向上するため、研究者や開発者さらにはジャーナリストの活動すらモニターしています。

コンピューターのヘルプサイトであるBleepingComputerによると、今回のランサムウェアは、多くのサーバーが暗号化されているような大企業があえて標的にされています。

参考
・New Ransomware-as-a-Service Tool ‘Thanos’ Shows Connections to ‘Hakbit’

【こんな記事も読まれています】
・セキュリティ企業がアンドロイドを標的にしたランサムウェアの復活に対して警告
・FBIが過去6年の米国内ランサムウェア攻撃の身代金総額は156億円との報告書公表
・身代金は15億円相当のビットコイン(BTC)、米国の老人ホームがランサムウエアに感染

参照元：CoinChoice