Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭

2017年4月7日15時現在、日本国内の Web サイトを経由した Rig Exploit Kit によるドライブバイダウンロード攻撃の検知数が増加しています。

2017年3月下旬以降、同攻撃の検知数は比較的少数で推移していたものが変化しています。短期的な傾向で終わるのか、しばらく持続する傾向なのか予測することは困難ですが、拡大を続ける可能性も考えられるため注意が必要です。

IIJ の観測範囲では Rig Exploit Kit 自体について顕著な変更などは確認していません。攻撃には主に Adobe Flash の脆弱性を悪用し、成功した場合は Cerber や Matrix などのマルウェアがダウンロードされることを確認しています。なお、現時点で 0-day を利用する攻撃などは確認していません。

3月までは Rig を経由してダウンロードされるマルウェアとして主に Cerber を検知していたのですが、4月に入って Matrix が確認されるようになりました。いずれもクライアント PC に保存されているファイルを暗号化して金銭を要求するという点で変わりはありません。

Rig 経由で Matrix がダウンロードされるという傾向については、Malware-Traffic-Analysis.net などによっても報告されているため、日本国内に限らずより広い範囲におけるトレンドと考えられます。