Epsilon Redランサムウェア検知：ClickFix経由で世界中のユーザーを狙う新たな攻撃キャンペーン

カスタムRATを用いたInterlockランサムウェア攻撃の直後に、改変されたClickFixの派生型「FileFix」を経由した配布を伴う新たな悪意あるキャンペーンが出現しました。今回もClickFixを模したマルウェア配布サイトが利用されています。防御側は2025年7月に開始された新種のグローバルな Epsilon Redランサムウェア攻撃を発見しました。攻撃者は偽のClickFix認証ページを用い、複数の有名プラットフォームを装ってユーザーを騙します。このキャンペーンはソーシャルエンジニアリングを活用し、被害者にActiveX経由で悪意のあるHTAファイルを実行させ、隠密にペイロード配布とランサムウェアの起動を誘発します。

Epsilon Redランサムウェア攻撃の検知

2025年第1四半期にCheck Pointは ランサムウェア攻撃が前年同期比126%増加したことを観測し、1日あたり平均インシデント数は275件、前年比47%増となりました。Symantecの「The State of Ransomware 2025」レポートによると、多くの組織が運用面の脆弱性を抱えており、特に40.2%が内部専門知識不足、40.1%が未発見のセキュリティギャップ、39.4%が人員不足やキャパシティ不足を主な要因として挙げています。

新種ランサムウェアが続々登場し、Epsilon Redで見られるClick-Fix手法のような新しい配布技術も採用される中で、サイバー防御者は迅速かつ高品質な検知コンテンツと高度なサイバーセキュリティツールに頼り、急速に進化する脅威に対抗しなければなりません。

SOC Primeプラットフォームに登録して、Epsilon Redランサムウェアのような潜在的脅威を可能な限り早期に検知しましょう。本プラットフォームはAI駆動の検知エンジニアリング、自動化された脅威ハンティング、高度な脅威検知を実現する製品群とともに、タイムリーな脅威インテリジェンスと実践的な検知コンテンツを提供します。下の 「検出を探索」ボタンをクリックして、Epsilon Redランサムウェア活動を特定・対応するための検知ルール群を確認してください。

「検出を探索」

SOC Primeプラットフォームのすべてのルールは複数のSIEM、EDR、Data Lakeソリューションに対応し、MITRE ATT&CK®フレームワークにマッピングされています。さらに、各ルールには詳細なメタデータが付帯し、脅威インテリジェンスの参照情報、攻撃タイムライン、トリアージ推奨事項などが含まれています。

必要に応じて、「Ransomware」タグを適用して、世界中のランサムウェア攻撃を網羅する幅広い検知ルールにアクセスすることも可能です。

さらに、セキュリティ専門家は Uncoder AIを利用して、脅威情報に基づく検知エンジニアリングを効率化できます。生の脅威レポートから検知アルゴリズムを生成し、IOCの高速スイープを実行、ATT&CKタグを予測し、AIの助言でクエリコードを最適化、さらに複数のSIEM、EDR、Data Lake言語間での翻訳を行えます。例えば、セキュリティ担当者は CloudSEKのTRIADチームの調査を元に、数クリックでAttack Flow図を生成可能です。

Epsilon Redランサムウェア攻撃の分析

2021年5月、Sophos研究者が米国のホスピタリティ企業のインシデント調査中に「Epsilon Red」と呼ばれる新たなランサムウェア変種を特定しました。Go言語で開発され64bit Windowsバイナリとしてコンパイルされた本マルウェアは、ファイル暗号化に専念し、システム準備や実行などのその他の攻撃タスクは10を超えるPowerShellスクリプトに委任しています。これらスクリプトは比較的単純な難読化にもかかわらず、大手アンチウイルス製品の検知を巧妙に回避しました。身代金要求文書は REvilグループが使用する文書と文体・文法上の類似が顕著であり、関連の可能性を示唆していますが、マルウェアの技術や運用インフラは独自のものです。

CloudSEKのTRIADチームは、現在も開発中のEpsilon Redランサムウェアに関連するClickFix風マルウェア配布サイトを発見しました。従来のクリップボードベースのペイロード実行とは異なり、本キャンペーンはユーザーを二次ページへ誘導し、ActiveXを介して悪意のあるシェルコマンドをステルス実行し、攻撃者管理下のIPアドレスからペイロードをダウンロードおよび実行させます。正当性を装う偽の認証プロンプトなどの欺瞞的手法が用いられています。インフラ解析により、Discord Captcha Bot、Kick、Twitch、OnlyFansといったサービスのなりすましやロマンス系のソーシャルエンジニアリング誘導が確認されました。

このキャンペーンは、ウェブブラウザを通じたエンドポイントの侵害から始まる重大なリスクを孕んでいます。ActiveXObjectインターフェースを悪用し、ユーザーのブラウザセッション中にリモートで悪意あるコードを実行可能で、標準的なダウンロード防御を効果的に回避します。この技術はシステム内部へのより深い浸透を可能にし、横移動や最終的なランサムウェア展開へとつながります。

さらに攻撃者は、Discord CAPTCHAや人気ストリーミングプラットフォームなど馴染みのあるサービスのブランドを模倣し、ユーザーの警戒心を緩めることでソーシャルエンジニアリングの成功率を高めています。ClickFixクローンやロマンス関連の誘導サイトといったテーマを繰り返し利用することは、計画的かつ継続的な脅威活動を示しています。

Epsilon Redランサムウェアの潜在的な緩和策としては、すべてのシステムでグループポリシーを使用してActiveXやWindows Script Hostなどのレガシースクリプトインターフェースを無効化することが推奨されます。リアルタイム脅威インテリジェンスフィードを統合し、ClickFix関連の攻撃者管理IPやドメイン、IOCをブロックすることも重要です。また、DiscordやTwitchなどの人気プラットフォームを模倣したなりすましシナリオを用いた定期的なセキュリティ意識向上トレーニングを実施し、偽認証ページやソーシャルエンジニアリングの誘導をユーザーが認識・回避できるよう備えるべきです。高度かつ多様化するランサムウェアや新興脅威に対抗するため、組織は SOC PrimeのAI・自動化・リアルタイムCTI対応の包括的な製品群を活用して防御力を強化するとよいでしょう。