悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言

最も活発で悪名高い、データを盗むランサムウェアグループの1つであるMazeは「正式に閉鎖した」と述べた。

この発表は、スペルの間違いに満ちた冗長な声明としてダークウェブのウェブサイトに公開された。Mazeは過去1年間、対象企業から盗んだ膨大な量の社内文書やファイルを公開した。Cognizant(コグニザント)、サイバーセキュリティー保険会社のChubb(チャブ)、製薬大手のExecuPharm(エグゼキュファーム、未訳記事)、Tesla(テスラ)やSpaceX(スペースX)の部品サプライヤーであるVisser(ビセール)、防衛請負業者のKimchuk(キムチャック、未訳記事)などが標的となった。

典型的なランサムウェアグループは被害者をファイル暗号化マルウェアに感染させ、身代金のためにファイルを保持する。Mazeは最初に被害者のデータを盗み出し、身代金を支払わないなら盗んだファイルを公開すると脅迫する手法で悪評を高めた。

被害者が支払いを拒否すれば盗んだファイルをリークするという手法は、ランサムウェアグループが好む戦術となった(未訳記事)。そうしたグループは多くの場合、ダークウェブ上にウェブサイトをもっている。

Mazeは当初、エクスプロイトキット(ハッキングツールの1つ)とスパムキャンペーンで被害者を感染させたが、その後既知のセキュリティ脆弱性につけ込み、特に有名企業を標的にした。Mazeは脆弱な仮想プライベートネットワーク(VPN)やリモートデスクトップ(RDP)サーバーを狙って、被害者のネットワークに対して標的型攻撃を仕掛けることで知られていた(ZDNet記事)。

要求した身代金のうち数件は数百万ドル(数億円)に達した。伝えられるところによるとMazeはジョージアに本拠を置く1つのワイヤーとケーブルのメーカーに600万ドル(約6億3000万円)を要求し(BleepingComputer記事)、匿名の組織のネットワークを暗号化した後に1500万ドル(約16億円)を要求した(Sophos記事)という。しかし、2020年3月に新型コロナウイルスがパンデミックと宣言された後、Maze(および他のランサムウェアグループ)は病院や医療施設を標的にしない(BleepingComputer記事)と約束した。

しかし、まだセキュリティの専門家が喜べる状況ではない。結局のところ、ランサムウェアギャングは依然として犯罪企業であり、その多くは利益で動く。

Mazeランサムウェアグループによるシャットダウンしたと主張する声明(スクリーンショット:TechCrunch)

「もちろん、Mazeの主張は少し疑ってかかるべきです」とセキュリティ企業Emsisoft(エミソフト)のランサムウェアの専門家でサイバー脅威のアナリストであるBrett Callow(ブレット・キャロウ)氏はいう。「同グループは、店を閉め、沈む夕日に向かって船を出すのに十分な金を稼いだと感じている可能性は確かにあります。ただし、ブランドを変更すると決めた可能性もあり、おそらくその可能性が最も高いと思われます」。

キャロウ氏は、同グループの外見上の解散は、同グループのつながりや他のグループとの関わりについて未回答の質問を残したと述べた。「Mazeのオペレーションは提携で成り立っていた。犯行パートナーが引退する可能性は低く、代わりに単に別のグループと連携するでしょう」と同氏はいう。

Mazeは声明の中で同グループがランサムウェアグループの「カルテル」であることは否定したが、専門家は同意していない。Akamai(アカマイ)のセキュリティ研究者であるSteve Ragan(スティーブ・ラガン)氏は、MazeがRagnar LockerやLockBit ransomware-for-hireなどの他のランサムウェアからのデータをウェブサイトに投稿することで知られていると述べた。

「チームがなくなった、またはカルテルがなかったふりをしているが、まったく正反対です。そうしたグループは明らかに多くのレベルで協力していました」とラガン氏は述べた。

「この欠点、そして他の重要な点は何も変わらないということです。ランサムウェアは存在し続けています」とラガン氏は述べた。「犯罪者は依然としてオープンアクセス、野ざらしのRDP(リモートデスクトッププロトコル)、VPNポータルを標的にしており、インターネット上の無防備な被害者への感染を期待して、悪意のある添付ファイル付きの電子メールを送信しています」と同氏は説明した。

FireEye’s(ファイアアイズ)のMandiant(マンディアント)サイバー脅威インテリジェンスユニットのJeremy Kennelly(ジェレミー・ケネリー)氏は、Mazeブランドは死んだ可能性があるが、その運営者が永久に消えてなくなる可能性は低いと述べた。

「Mazeランサムウェアサービスを有効にするために協力した個人やグループの多くは、既存のランサムウェアサービスのサポートに取り組むか、将来的には新しいオペレーションをサポートするかのいずれかで、同様のオペレーションに従事し続ける可能性が高いと確信しています」とケネリー氏は述べた。

関連記事
米セキュリティー保険大手のChubbがランサムウェア「Maze」の攻撃を受けデータを盗まれる
テスラやSpaceXと取引がある精密部品メーカーからデータ流出

カテゴリー:セキュリティ
タグ:ランサムウェアMaze

画像クレジット:Anton Eine / EyeEm / Getty Images

原文へ

(翻訳:Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。