音声で脅迫するランサムウェア「Mazeランサムウェア」の内部構造を紐解く

ARANK

7月中旬、Mazeランサムウェアの被害を受けたと思われる日本国内の企業のデータが攻撃者のWebサイトで公開されたことが一部で話題になりました。Mazeランサムウェアは過去にChaChaランサムウェア（暗号アルゴリズムのChaChaを使用することからの由来）と呼ばれていたランサムウェアの亜種であり、2019年5月に初めて存在が確認され、感染経路としてはこれまでにスパムメールへの添付や脆弱性の利用、ネットワーク侵入などの経路が確認されています。Mazeランサムウェアを操る攻撃者の大きな特徴は、ランサムウェアによって暗号化を行う前にすでに被害者端末からデータを盗み出しており、身代金支払いの要求に応じない場合はそれらの窃取データを実際に公開するという点です。最近はMaze以外の他のランサムウェアを用いた攻撃においてもこの流れが見られており、ランサムウェア感染と情報流出の２点は切り離せないものとなってきている現状があります。以下の図は、Mazeランサムウェアの攻撃者が公開しているWebサイトですが、被害組織から盗み出した情報が多数公開されています。Webサイト上には多くの企業名が並び、それぞれをクリックすると各被害組織から盗み出されたデー…