キャノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される

Maze、Egregor、Sekhmetランサムウェアファミリーのデクリプターが公開された。これはサイバー犯罪者が最近の法執行機関の動きに脅かされていることを示している。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

Mazeは、かつて最も活発で悪名高いデータ窃盗ランサムウェアグループの1つとされていた。2019年5月に活動を開始したこのギャングは、ハッカーがまず被害者のデータを抽出し、身代金を支払わなければ盗んだファイルを公開すると脅すという、二重恐喝モデルを導入したことで悪名を馳せた。典型的なランサムウェアグループは、ファイルを暗号化するマルウェアを被害者に感染させ、ファイルを人質にして暗号資産を要求する。

2020年11月に閉鎖を発表したこのグループは、Cognizant(コグニザント)、Xerox(ゼロックス)、LG、Canon(キャノン)など、数多くの著名企業を被害者にした。

関連記事
悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言
IT最大手のCognizantがランサムウェア攻撃を受けたことが判明

Egregorは2020年9月、Mazeの活動が停止し始めた頃に現れ、前身と同じ二重恐喝の手法を採用した。Ubisoft(ユービーアイソフト)、Barnes & Noble(バーンズ・アンド・ノーブル)、Kmar(Kマート)、バンクーバーの地下鉄システムなど、多くの被害者を出したものの、2021年2月にEgregorのメンバー数名がウクライナで逮捕されたため、活動は短命に終わった。

2020年3月に活動を開始したSekhmetは、MazeやEgregorと多くの類似点を持っている。後者よりも先に登場しているが、サイバーセキュリティ研究者は、類似した戦術、難読化、APIコール、身代金要求メッセージを観察している。

米国時間2月9日、これら3つのオペレーションの開発者を名乗る「Topleak」と名乗る人物が、Bleeping Computerフォーラムへの投稿で、3つすべてのランサムウェアファミリーの復号鍵を公開した。

Topleak は「多くの疑惑を招くことになり、そのほとんどが虚偽となるため、強調しておく必要がありますが、これは計画的なリークであり、最近の逮捕やテイクダウンとは何の関係もありません」と述べ、チームメンバーの誰もランサムウェアに戻ることはなく、ランサムウェアのソースコードはすべて破棄したと付け加えた。

復号鍵が正規のものであることを確認したEmsisoft(エムシソフト)は、Maze、Egregor、Sekhmetの被害者が無料でファイルを復元できるようにデクリプターをリリースした。

Emsisoftのランサムウェア専門家であり、脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、復号鍵の公開は、サイバー犯罪者が動揺していることを示す1つの兆候であるとTechCrunchに語っている。

「復号鍵を公開したことは、最近のREvilの逮捕とは何の関係もないとギャングは主張していますが、そんなわけありません。現実には、彼らのコストとリスクがともに増加しているのです」とキャロウ氏はいう。「ランサムウェアがこれほど大きな問題になったのは、サイバー犯罪者がほとんど完全に無罪放免で活動できたからです。しかし、もはやそれは通用しません。問題が解決されたわけではありませんが、リスクとリターンの比率において、(犯罪者にとって)より多くの『リスク』が存在するようになりました」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言

最も活発で悪名高い、データを盗むランサムウェアグループの1つであるMazeは「正式に閉鎖した」と述べた。

この発表は、スペルの間違いに満ちた冗長な声明としてダークウェブのウェブサイトに公開された。Mazeは過去1年間、対象企業から盗んだ膨大な量の社内文書やファイルを公開した。Cognizant(コグニザント)、サイバーセキュリティー保険会社のChubb(チャブ)、製薬大手のExecuPharm(エグゼキュファーム、未訳記事)、Tesla(テスラ)やSpaceX(スペースX)の部品サプライヤーであるVisser(ビセール)、防衛請負業者のKimchuk(キムチャック、未訳記事)などが標的となった。

典型的なランサムウェアグループは被害者をファイル暗号化マルウェアに感染させ、身代金のためにファイルを保持する。Mazeは最初に被害者のデータを盗み出し、身代金を支払わないなら盗んだファイルを公開すると脅迫する手法で悪評を高めた。

被害者が支払いを拒否すれば盗んだファイルをリークするという手法は、ランサムウェアグループが好む戦術となった(未訳記事)。そうしたグループは多くの場合、ダークウェブ上にウェブサイトをもっている。

Mazeは当初、エクスプロイトキット(ハッキングツールの1つ)とスパムキャンペーンで被害者を感染させたが、その後既知のセキュリティ脆弱性につけ込み、特に有名企業を標的にした。Mazeは脆弱な仮想プライベートネットワーク(VPN)やリモートデスクトップ(RDP)サーバーを狙って、被害者のネットワークに対して標的型攻撃を仕掛けることで知られていた(ZDNet記事)。

要求した身代金のうち数件は数百万ドル(数億円)に達した。伝えられるところによるとMazeはジョージアに本拠を置く1つのワイヤーとケーブルのメーカーに600万ドル(約6億3000万円)を要求し(BleepingComputer記事)、匿名の組織のネットワークを暗号化した後に1500万ドル(約16億円)を要求した(Sophos記事)という。しかし、2020年3月に新型コロナウイルスがパンデミックと宣言された後、Maze(および他のランサムウェアグループ)は病院や医療施設を標的にしない(BleepingComputer記事)と約束した。

しかし、まだセキュリティの専門家が喜べる状況ではない。結局のところ、ランサムウェアギャングは依然として犯罪企業であり、その多くは利益で動く。

Mazeランサムウェアグループによるシャットダウンしたと主張する声明(スクリーンショット:TechCrunch)

「もちろん、Mazeの主張は少し疑ってかかるべきです」とセキュリティ企業Emsisoft(エミソフト)のランサムウェアの専門家でサイバー脅威のアナリストであるBrett Callow(ブレット・キャロウ)氏はいう。「同グループは、店を閉め、沈む夕日に向かって船を出すのに十分な金を稼いだと感じている可能性は確かにあります。ただし、ブランドを変更すると決めた可能性もあり、おそらくその可能性が最も高いと思われます」。

キャロウ氏は、同グループの外見上の解散は、同グループのつながりや他のグループとの関わりについて未回答の質問を残したと述べた。「Mazeのオペレーションは提携で成り立っていた。犯行パートナーが引退する可能性は低く、代わりに単に別のグループと連携するでしょう」と同氏はいう。

Mazeは声明の中で同グループがランサムウェアグループの「カルテル」であることは否定したが、専門家は同意していない。Akamai(アカマイ)のセキュリティ研究者であるSteve Ragan(スティーブ・ラガン)氏は、MazeがRagnar LockerやLockBit ransomware-for-hireなどの他のランサムウェアからのデータをウェブサイトに投稿することで知られていると述べた。

「チームがなくなった、またはカルテルがなかったふりをしているが、まったく正反対です。そうしたグループは明らかに多くのレベルで協力していました」とラガン氏は述べた。

「この欠点、そして他の重要な点は何も変わらないということです。ランサムウェアは存在し続けています」とラガン氏は述べた。「犯罪者は依然としてオープンアクセス、野ざらしのRDP(リモートデスクトッププロトコル)、VPNポータルを標的にしており、インターネット上の無防備な被害者への感染を期待して、悪意のある添付ファイル付きの電子メールを送信しています」と同氏は説明した。

FireEye’s(ファイアアイズ)のMandiant(マンディアント)サイバー脅威インテリジェンスユニットのJeremy Kennelly(ジェレミー・ケネリー)氏は、Mazeブランドは死んだ可能性があるが、その運営者が永久に消えてなくなる可能性は低いと述べた。

「Mazeランサムウェアサービスを有効にするために協力した個人やグループの多くは、既存のランサムウェアサービスのサポートに取り組むか、将来的には新しいオペレーションをサポートするかのいずれかで、同様のオペレーションに従事し続ける可能性が高いと確信しています」とケネリー氏は述べた。

関連記事
米セキュリティー保険大手のChubbがランサムウェア「Maze」の攻撃を受けデータを盗まれる
テスラやSpaceXと取引がある精密部品メーカーからデータ流出

カテゴリー:セキュリティ
タグ:ランサムウェアMaze

画像クレジット:Anton Eine / EyeEm / Getty Images

原文へ

(翻訳:Mizoguchi