最近ではシステムやファイルを暗号化したり端末を操作不能にして身代金を要求するランサムウェア攻撃が金銭取得に効率的であることから主流になりつつあるが、このランサムウェアが今後具体的な企業を狙った標的型攻撃に移行するとシマンテックが推測している。
ランサムウェアは攻撃の主流となり、被害が世界各国で拡大していることからFBIやUS-CERTなどが警告を発している。しかし、従来のランサムウェアはドライブバイダウンロードやスパムメールなどによりユーザの端末をマルウェア感染させてシステムやファイルを暗号化させるが、今回新たな亜種のSamsamが確認された。この新種のSamsamはドライブバイダウンロードやメールを利用せずに、Jexbossを使用してRed Hat 社のJBossを使用しているパッチ未適用の脆弱なサーバを狙って侵入を試みる。侵入されると、攻撃者は資格情報やネットワーク接続されたコンピュータ情報を収集し、その上でランサムウェアによりシステム上のファイルを暗号化して身代金を要求する。さらに、通常の暗号化ランサムウェアは暗号化の際にC&Cサーバに接続してサーバがRSA鍵ペアを生成して公開鍵を送り返すが、Samsamは攻撃者が鍵ペアを生成する。
Samsamはパッチ未適用のサーバを標的にするため、企業を狙って直接攻撃でき、脆弱な企業を狙って儲けを得るのに攻撃者には非常に効率的で採算の取れるビジネスモデルになることがわかり、今後ランサムウェアはこの形にシフトしていくと見られる。JBossを利用している場合には、パッチが適用されているかきちんと確認し、脆弱性の影響を受けないバージョンを使用する必要があるとしている。
