概要:脅威グループShinyHuntersの新たな動向
世界的なサイバー脅威の状況が深刻化する中、悪名高い脅威グループShinyHuntersが、データ窃盗から本格的なランサムウェア運用へと移行しつつあることが判明しました。サイバーセキュリティ研究者たちは、同グループが独自のランサムウェア・アズ・ア・サービス(RaaS)プラットフォーム「ShinySp1d3r」の初期ビルドを特定しました。これは、ShinyHuntersが外部の暗号化ツールに頼らず、自前のツールキットを開発した初の事例となります。
この発見は、当初VirusTotalで報告され、恐るべき新たな提携の技術的な側面を初めて明らかにしました。情報によると、ShinyHuntersはScattered SpiderとLapsus$の一部と結託し、「Scattered LAPSUS$ Hunters」という新たな連合を結成している模様です。この連合は、Scattered Spiderのソーシャルエンジニアリングの腕前と、ShinyHuntersの広範囲なデータ窃盗能力を組み合わせたものです。同グループはすでに水面下で活動を開始しており、Telegram上の初期のチャットでは、SalesforceやJaguar Land Roverといった大手企業に対する恐喝未遂が示唆されています。
戦略的転換:自律性の追求
ShinySp1d3rの開発は、自律性への戦略的な転換を示しています。攻撃者は、初期アクセスから暗号化までの攻撃チェーン全体を自ら制御することで、サードパーティの開発者への依存を排除し、恐喝による収益の100%を保持することが可能になります。
ShinySp1d3rの技術的特徴
ShinySp1d3rのサンプルに対する技術分析からは、最大の混乱と回避を目的とした、洗練された攻撃的な機能セットが明らかになりました。歴史的に、ShinyHuntersはBlackCat/ALPHV、Qilin、RansomHubのような確立されたRaaSブランドのアフィリエイトとして活動していました。
- マルウェアは、ChaCha20ストリーム暗号化とRSA-2048を鍵交換に利用し、ロックされたファイルに一意の拡張子を付加します。
- 特筆すべきは、Windowsイベントビューアのログ記録を妨害するためにEtwEventWriteにフックをかけることで、インシデント対応の複雑化を図っています。
- マルウェアはシステムの復旧に対し非常に容赦がなく、シャドウボリュームコピーを積極的に削除し、wipe-[random] tmpファイルで空きディスク領域を上書きして、フォレンジックデータの回復を阻止します。
- 暗号化中にファイルがオペレーティングシステムによってロックされないように、ファイルハンドルを保持しているプロセスを終了させます。「forceKillUsingRestartManager」という実験的な機能を利用しています。
- 感染拡大機能はバイナリに直接組み込まれており、Service Control Manager (deployViaSCM)、Windows Management Instrumentation (deployViaWMI)、グループポリシーオブジェクト展開 (attemptGPODeployment) などのモジュールを利用して、ネットワーク全体に驚くべき速さで横展開できます。また、開かれているネットワーク共有を積極的にスキャンし、暗号化します。
新たな脅威の犠牲者は、「R3ADME_1Vks5fYe.txt」というタイトルの身代金メモと悪意のある壁紙に迎えられます。暗号化されたファイル内のメタデータは、SPDRからENDSまでの明確なブロックでマークされています。
今後の展望と倫理規定への疑問
開発者たちはShinySp1d3rに対して野心的な計画を持っています。地下フォーラムの通信によると、グループは現在、LinuxおよびESXi環境向けの亜種、さらには超高速暗号化のためのアセンブリ(ASM)で書かれた「ライトニングバージョン」を開発中であるとされています。
グループは、病院とCIS(独立国家共同体)諸国を攻撃対象から除外すると公に表明していますが、サイバーセキュリティ専門家は懐疑的な見方を示しています。他のRaaSグループによる同様の「倫理規定」は、アフィリエイトが報酬を追い求める中で頻繁に無視されてきました。
結論:組織への警告
独自の暗号化、多角的な感染拡大ベクトル、そして世界で最も危険な3つのアクターグループの支援を受けて、ShinySp1d3rは2026年に向けて主要な脅威ベクトルとなる構えです。組織は直ちに検出シグネチャを更新し、多層防御戦略を見直すよう強く推奨されます。