スペインの警察当局は、警察を装う特定系統のランサムウェアに関与した人物を逮捕したと発表しました。これは Ransom.EY として知られるランサムウェアで、シマンテックは Trojan.Ransomgerpoとして検出します。
Trojan.Ransomgerpo は、警察を装うランサムウェアとして最も初期から活動してきた亜種のひとつで、シマンテックは遅くとも 2011 年 7 月からこれを追跡してきました。ドライブバイダウンロードを利用して拡散するトロイの木馬で、Blackhole 悪用ツールキットとも関連があります。初期バージョンではロック画面もごく単純なものでしたが、その後急速に進化を遂げています。図 1 でわかるように、作成者は明らかに他のランサムウェアグループからデザインを借用しています。
図 1. Trojan.Ransomgerpo の初期デザインと、洗練された最近のデザイン(最新画像は、Kafeine 氏により botnets.fr からご提供いただきました)
図 1 で示されているように、当初はドイツのユーザーだけを対象にしていましたが、その後数カ月のうちに、それ以外の国や地域、特に米国も狙われるようになりました。標的となった国や地域の全体の分布を図 2 に示し、Trojan.Ransomgerpo の活動の推移を図 3 に示します。
図 2. Trojan.Ransomgerpo の感染分布図
図 3.感染活動の推移
攻撃者の活動は明らかに断続的で、Trojan.Ransomgerpo の拡散は不規則です。
シマンテックも、他のセキュリティ企業や研究者も Trojan.Ransomgerpo に関して法執行機関に情報を提供しており、今回の逮捕を歓迎しています。シマンテックは今後も、サイバー犯罪者の逮捕に向けて法執行機関への協力を続けます。
警察を装うランサムウェアについて詳しくは、16 種類の Ransomlock グループの調査結果をまとめたホワイトペーパー(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。