統計から見るCryptoWall、TeslaCrypt、Locky

私たちがLockyについての報告を行い、これがランサムウェア界で主役級の存在になると予測してから、2週間以上が経ちました。私たちは2週間後に、CryptoWall、TeslaCrypt、Locky を対象とした、侵入防止システム(IPS)のテレメトリー統計を確認してみようと考えていました。長年存在するランサムウェアと比較して、Lockyがどのような状況、位置にあるのかを見るためです。

短期間の統計ではありますが、Lockyの初期の活動だけでなく、これら3つの主要なランサムウェアファミリーがどのようにして世界中のユーザーに影響を与えているかに関し、いくつか洞察を得ることができました。今回のブログ記事では、それを皆さんにお伝えしたいと思います。

CryptoWall、TeslaCrypt、LockyのC&C通信から、合計1,860万以上のヒットがありました。IPSのヒット数を分析する際は、マルウェアがC&Cサーバーと複数回通信する可能性を考慮することが重要です。今回のケースでは、こうした数字の比率を分析することで、より意味のある結果を得ることができました。

以下は、3つのランサムウェアファミリーのヒット数の分布です。


図1. Cryptowall、TeslaCrypt、LockyのIPSヒット数の分布

予想通り、Lockyがすでに活動開始から2週間で、感染のかなりの部分を占めています。TeslaCryptを上回りました。TeslaCryptはヒット数がかなり少ないですね。

Locky

以下は、Lockyの影響が大きい国上位10か国です。最もヒット数が多い上位3か国はアメリカ、フランス、日本です。


図2. Lockyによる影響が大きい国上位10か国

以下はLockyの感染を示すヒートマップです(色が濃いほど感染数が多い)。マウスのポインターを感染が確認されている国に合わせると、実際のパーセンテージが表示されます。

図3. Lockyの感染のヒートマップ

CryptoWall

CryptoWallについて、この2週間でヒット数が多かったのはアメリカ、日本、トルコです。


図4. CryptoWallによる影響が大きい国上位10か国

以下はCryptoWallの感染を示すヒートマップです。

図5. CryptoWallの感染のヒートマップ

TeslaCrypt

TeslaCryptのヒット数が最も多かったのは韓国でした。それにアメリカ、トルコが続いています。


図6. TeslaCryptによる影響が大きい国上位10か国

以下はTeslaCryptの感染を示すヒートマップです。

図7. TeslaCryptの感染のヒートマップ

まとめ

収集したデータに基づき、CryptoWall、TeslaCrypt、Lockyの現在の活動を見ると、以下のことがわかりました。

  • ランサムウェアの動向において、LockyランサムウェアはTeslaCryptを抜き、CryptoWallに次ぐ大きな存在となっている。
  • CryptoWallは現在、LockyやTeslaCryptと比べ、はるかに広く拡散している。TeslaCryptは他の2つに比べ、アクティビティがかなり少ない。
  • ヒット数が最も多い国はアメリカ。影響の大きい国上位3か国に常にランクイン。
  • アメリカ、日本、カナダ、メキシコは、3つのすべてのランサムウェアファミリーすべてにおいて、影響の大きい国上位10か国に常にランクイン。

フォーティネットではCryptoWall、TeslaCrypt、Lockyのネットワーク通信をIPSルールCryptowall.Botnet、Teslacrypt.Botnet、Locky.Botnetでそれぞれ検知しています。

これらのランサムウェアファミリーに関する追加情報に関しては、当社がこれまでに掲載したブログ記事をご覧ください。

CryptoWall
https://blog.fortinet.com/post/keeping-pace-with-cryptowall
https://blog.fortinet.com/post/threat-intelligence-sharing-at-work-cyber-threat-alliance-tracks-cryptowall-version-3

TeslaCrypt
https://blog.fortinet.com/post/new-cryptowall-variant-in-the-wild

Locky
https://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2

-= FortiGuard Lion Team =-