2019年から活動していたランサムウェアギャングで、パッチが適用されていないCitrix ADCサーバーに対し攻撃を仕かけたことで有名になったRagnarok(ラグナロク)が、活動を停止するとともに被害者のために無料で復号キーを公開した。
Asnarok(アスナロク)と呼ばれることもあるこの集団は、先週、ダークウェブポータルにリストアップされていた12の被害者組織をすべて、ファイルを復元する方法についての短い説明に置き換えた。これにともない、Emsisoftの専門家がマスター復号鍵が含まれていることを確認した復号プログラムも公開された。ランサムウェア被害者のデータ復号化を支援するセキュリティ企業として知られるEmsisoftは、Ragnarokランサムウェア用のユニバーサルデクリプターもリリースしている。
Ragnarokは、ランサムウェア「Ragnar Locker(ラグナロッカー)」を使ってITネットワークを狙うことでよく知られている。このランサムウェアは、Citrix ADCの脆弱性を悪用して、(今や悪名高いWannaCry攻撃の背後にあるのと同じ脆弱性である)EternalBlueに脆弱なWindowsコンピュータを検索して数十の犠牲者を出し、Ransomwhe.reの支払いトラッカーによると、450万ドル(約4億9500万円)以上の身代金支払いを受けている。
関連記事:ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態
2020年4月、このサイバー犯罪者集団はポルトガルの大手エネルギー企業EDPから10テラバイトのデータを盗み、1090万ドル(約12億円)の身代金を支払わなければデータを流出させると脅迫した。さらに同グループは、イタリアの大手酒類メーカーCampari Group(カンパリ・グループ)のサーバーから、銀行取引明細書、従業員記録、著名人との契約書など、最大2テラバイトのデータを盗み出し、1500万ドル(約16億5000万円)の身代金の引き渡しを要求した。
また、2020年11月には「ストリートファイター」「バイオハザード」「デビル メイ クライ」などのタイトルで知られる日本の大手ゲーム会社カプコンも、この短命に終わったランサムウェアギャングの標的となった。この集団は、カプコンのシステムから39万人の顧客、ビジネスパートナー、その他の外部関係者の個人情報を盗んだとされている。
関連記事:「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩
今回の活動停止のニュースは、Bleeping Computerが米国時間8月26日に最初に報じた。
正式な解散声明は出ていないため、Ragnarokがなぜ活動を終了すると決めたように見えるのかは不明だ。しかし、他のランサムウェアギャングも、2021年初めにランサムウェアを国家安全保障上の脅威とした米国政府からの圧力の高まりに直面して、同様の自滅戦術を取っている。JBS攻撃の背後にあったギャングであるREvilはインターネット上からミステリアスに消え、Colonial Pipeline(コロニアル・パイプライン)事件の攻撃者グループDarkSideも引退を発表している。
Ziggy Avaddon、SynAck、Fonixなどの他のランサムウェアギャングも、2021年に入ってハッキングから引退し、被害者がサイバー攻撃から立ち直るための復号鍵をそれぞれ手放している。
もちろん、Ragnarokの消滅が永久的なものなのか、それとも単にリブランドするだけなのかは今のところ不明だ。悪名高いランサムウェアギャングのDoppelPaymentは、数カ月間活動を停止した後、最近「Grief Ransomware」として再び姿を現した。
Recorded Futureのコンピュータセキュリティインシデント対応チームのAllan Liska(アラン・リスカ)氏は「一時的なものだとは思いますが、新たな勝利を目にするのはうれしいです」とツイートしている。
関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない
画像クレジット:Bryce Durbin / TechCrunch / Getty Images
[原文へ]
(文:Carly Page、翻訳:Aya Nakazato)