Necurs ボットネットは、「Jaff」と呼ばれる新しい種類のランサムウェアをばらまくために利用されました。
Jaffは、悪名高いファイル暗号化マルウェアLockyと同様の方法で拡散し、決済サイトのテンプレートもLockyと共通していますが、全く異なる脅威です。危険なメールには、感染性の高いPDFファイルが添付されており、その中には悪意のあるマクロスクリプトが埋め込まれたDOCMファイルが埋め込まれています。このスクリプトは、Jaffランサムウェアをダウンロードして実行します。
Locky は、Jaff と同様に、Necurs ボットネットとブービートラップされた PDF も使用していたと Malwarebytes は指摘しています。
「コードベースも身代金自体も異なるため、比較はここで終わります」と、Malwarebytesのセキュリティ研究者、ジェローム・セグラ氏は述べています。「Jaffはなんと2BTCを要求しています。これは本稿執筆時点で約3,700ドルに相当します。」
Jaffランサムウェアのペイロード [出典: Malwarebytesブログ]
Proofpoint は、Jaff は Locky、Dridex、Bart (その他の悪質なマルウェア) の背後にいる同じサイバー犯罪者によるものである可能性があると見ているが、これは未確認のままである。
また、Forcepoint Security Labs は、Jaff を含んだ悪意のある電子メールが木曜日には 1 時間あたり 500 万件のペースで送信されており、同社がこの新たな脅威についてブログ記事を書いた時点で合計 1,300 万件に達していると報告している。
フォースポイントの主任セキュリティアナリスト、カール・レナード氏は次のようにコメントしています。「Jaff氏とLockyのつながりが、URLや文書の視覚的な構造にとどまらないかどうかは不明です。1,300万件以上のメッセージが送信されたことを考えると、このキャンペーンの背後にいる攻撃者が、このような華々しい登場を果たすために多大なリソースを費やしたことは明らかです。」
まだ初期段階ですが、このランサムウェアによる感染は今のところほとんど確認されていません。MalwareHunterTeamによると、被害者はわずか2名です。
拡大を続けるNecursボットネットは、今年初め頃に活動を停止しましたが、その後再びLockyの拡散に動き出し、最近では株価操作詐欺にも手を染めました。今週のJaffへの移行が今後も継続されるかどうかは不明ですが、ランサムウェアの「オープニングラン」の成功次第と言えるでしょう。
Jaffランサムウェアは、セキュリティ研究者のS!Riによって初めて特定されました。®
