デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは本日、2021年第3四半期の脅威レポートを発表し、ランサムウェアおよび遠隔操作ウイルス（RAT）攻撃のリスクが高まっていることが判明しました。また、ルートキットが拡大し、エクスプロイトキットやトロイの木馬「Flubot」に新たなメカニズムが確認されるなど、進化し続けるサイバー犯罪の分野に新たな進展が見られました。

企業を危険にさらすランサムウェアとRAT

2021年7月、IT管理ソフトウェア企業Kaseyaとその顧客を標的にした、Sodinokibi/REvilランサムウェアによる大規模なサプライチェーン攻撃が確認されました。アバスト脅威研究所は、2,400以上のエンドポイントにて攻撃を検知し、阻止しました。その後、ランサムウェアの運営者は復号キーを公開、Sodinokibiのインフラストラクチャは停止しました。9月9日、アバストは新しい亜種を検出、阻止しました。総合的に見ると、第3四半期、ランサムウェア攻撃のリスク比率は前期比+5％、第1四半期と比較して+22％増加しました。

2021年第3四半期にアバストがランサムウェアから保護したユーザーのリスク比率

また、産業スパイ、認証情報の窃盗、ストーカー行為、さらにはDDoS（分散型サービス妨害）攻撃にも利用されるRATが、第3四半期には前期よりもさらに広がり、企業や消費者にとって脅威となりました。アバストは、仮想マシン（VM）を攻撃する「FatalRAT」、Internet Explorerの脆弱性CVE-2021-26411を悪用する「VBA RAT」、PC搭載カメラを通した写真撮影、ファイル窃盗、アンチウイルスの回避機能を追加した「Reverse RAT」のビルド2.0など、3つの新しいRATの亜種を発見しました。

アバストのマルウェア リサーチ ディレクターであるヤクブ・クロウステク（Jakub Kroustek）は、次のように述べています。「RATは、産業スパイ活動に利用されることがあるため、企業にとって大きな脅威となります。さらに、認証情報の窃盗、DDoS攻撃、ストーカー行為など、一般消費者に対して使用される可能性があり、個人のプライバシーや健全な生活にも甚大な損害を与え得る脅威です。」

世界におけるRATリスク比率の分布

ルートキットの拡大、エクスプロイトキットやトロイの木馬での進展

アバスト脅威研究所では、第3四半期末にルートキットが大幅に拡大したことも確認しています。ルートキットとは、サイバー犯罪者に最高レベルのシステム権限を与え、不正アクセスを可能にする悪質なソフトウェアです。ルートキットは一般的に、ユーザーモードで他のマルウェアにサービスを提供します。

また、Google Chromeの脆弱性を標的にするエクスプロイトキットなど、マルウェアにおける新たな動きも目立ってきています。中でも「PurpleFox」が活発化しており、アバストでは1日平均で6,000人以上のユーザーをこの脅威から保護しました。また、「Rig」や「Magnitude」などのエクスプロイトも今期流行、長年活動を停止していた「Underminer」も復活し、「HiddenBee」や「Amadey」などのマルウェアに散発的にサービスを提供し始めました。特に「PurpleFox」や「Magnitude」は定期的に新機能が追加されています。

アバスト脅威研究所では、アンドロイド端末を標的としたマルウェア「FluBot」がソーシャルエンジニアリングのアプローチを変更するなど、モバイル分野での新しい戦術も確認しています。クロウステクは、次のように述べています。「当初、FluBotは宅配業者を装って、標的に荷物の追跡アプリに見せかけたマルウェアをダウンロードさせることで広まりました。アバストでは、第3四半期にこのマルウェアを広める上での斬新な手段を確認、偽のボイスメールや、プライベートな写真が流出したという偽の脅迫が見られました。被害者を偽のページに誘い込み、端末が感染していないにもかかわらず、すでにFluBotに感染していると主張し、修理のためのアプリをインストールするように騙す手法も確認されました。この修理アプリこそが、実際にはFluBotマルウェアそのものなのです。」

Flubotは、第2四半期にスペイン、イタリア、ドイツなどの欧州をターゲットにし、その後、欧州の他の地域や、オーストラリア、ニュージーランドなどの国にも拡大していきました。

より詳細な情報については、レポート（英語）をご覧ください： 

https://decoded.avast.io/threatresearch/avast-q321-threat-report/

（以上）