ランサムウェアのRoyalがBlackSuitにブランド変更しようとしている可能性についてお伝えしましたが、そもそもRoyalとはどのようなランサムウェアなのでしょうか?

Contiの後継、RaaSではないランサムウェア

 Royalは2022年9月以降に観測されるようになったランサムウェアで同年1月以降から活動が観測されていたZeonというランサムウェアファミリーにリンクされているということです。RaaSとしてのランサムウェアではないということです。

 Royalによる攻撃として知られるのがアメリカ・テキサス州のダラス市に対する攻撃です。この攻撃については「アメリカ・テキサス州のダラス市にランサムウェア攻撃 警察の通信システムがダウン」とのタイトルで当サイトでも記事にしていますが、その際の状況の詳細について今年9月にBleepingComputerが報じています。それによるとネットワークへの侵入は盗まれたアカウントを使用して行われ、侵害は4月7日から5月4日まで続いたということです。そして、この攻撃により計3万253人分の個人情報が流出した可能性があるということです。

 Royalによる攻撃は自治体にとどまらず、さまざまな分野の組織に対して規模の大小を問わず行われており、その中には医療機関も含まれています。Royalが注目される1つの理由として、このランサムウェアがランサムウェアContiのグループの元メンバーによって運営されているとみられていることがあります。このContiの元メンバーによるグループはTeam Oneと呼ばれており、メンバーの中にはContiの前身となるランサムウェアRyukの開発に携わっていたメンバーも含まれているということです。

被害の多くはアメリカの組織

 CISAが第三者の報告として公表しているデータによると、Royalの初期アクセスの66.7%はフィッシングメールを介して被害者のネットワークにアクセスしランサムウェアを配信するマルウェアをインストール、次にリモートデスクトッププロトコル(RDF)を侵害して攻撃に至るケースが多いようです。また、初期アクセスブローカーを利用してスティーラーから仮想プライベートネットワーク(VPN)の認証情報を収集している可能性があるということです。初期アクセスでは、コールバックフィッシング詐欺によって被害者を騙してリモートデスクトップソフトウェアをインストールさせる手口も見られ、これはContiのグループが使用していた攻撃手法と類似しているということです。

 トレンドマイクロのデータによると、Royalの63.5%はアメリカで検出され、Royalのリークサイトデータのトップはアメリカの組織だということですから、Royalランサムウェアはアメリカの組織を狙っているランサムウェアだと言えるのかもしれません。こうした事態を受けてアメリカの保健福祉省(HHS)は2022年12月にRoyalランサムウェアに対するアラートを医療機関に対して発出しています。また、今年3月にはCISAとFBIが共同アドバイザリを発行してRoyalランサムウェアに対する注意を喚起しています。

 今年に入ってアメリカとイギリスはTrickBotグループの制裁に共同で乗り出していますが、TrickBotはContiランサムウェアのダウンローダーとしても機能し、TrickBotグループとContiランサムウェアのグループは関係している、もしくは同一の可能性があることからContiランサムウェアの後継と目されているRoyalランサムウェアの動向は気になるところです。前回のコラムでお伝えしたようにBlackSuitというランサムウェアに今後、再構築されていくのか注目されます。

■出典

https://unit42.paloaltonetworks.jp/royal-ransomware/

https://www.trendmicro.com/ja_jp/research/23/g/ransomware-spotlight-royal.html

https://www.bleepingcomputer.com/news/security/dallas-says-royal-ransomware-breached-its-network-using-stolen-account/

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a