恐喝者であっても、ターゲットを誤認することがあります。最近、アフィリエイトプログラム「Nova」がEriell Groupに対して謝罪する事態が発生しました。背景として、Novaは密接な関係をRAlordシンジケートと維持しています。一方、被害を受けた企業は大手油田サービス会社です。同社はウズベキスタンに本社を置き、モスクワに法人支社を展開しています。今回、Novaの不正なアフィリエイトメンバーが独立国家共同体(CIS)域内の組織を誤って攻撃してしまいました。この行為はロシア語圏シンジケートの不文律に違反するものであり、彼らは地域内の組織を攻撃することを厳しく禁じています。
外交的撤回とアフィリエイトの追放
侵害発生後、Eriell Groupの幹部はすぐさまNovaの運営者に連絡を取りました。そして当該アフィリエイトが地理的に誤った攻撃を行ったことを明確に証明しました。これを受け、Novaのリーダーシップは問題の実行者をプログラムから即座に追放しました。さらに、シンジケートは企業に対して正式な公開謝罪を発表しました。連合はデータ復元を完全に無償で支援することを約束し、企業ファイルは暗号化されていないことも確認しました。最終的に、グループは窃取した企業データを一切公開しないと明言しています。
CIS不可侵の暗黙のルール
脅威アナリストのAllan Liskaは、この暗黙の原則を的確にまとめています。建前上、ランサムウェアシンジケートはCIS域内の組織への攻撃を一貫して避けています。ロシアおよび周辺地域ではサイバー犯罪は法的に禁止されており、国内グループは意図的に地元のターゲットを避けています。自国の管轄内にある組織を攻撃することは、法執行機関が介入するリスクを大幅に高めるためです。
脅威の整合性における先例
同様の厳格な禁止規定は、かつてDragonForce、VanHelsing、LockBitといったシンジケートにも存在していました。これらの組織はアフィリエイトメンバーに対し、ロシア企業やCIS同盟インフラを標的にすることを明示的に禁じていました。今回の不注意なNovaオペレーターも、同業のサイバー犯罪組織全体で永久ブラックリストに載るなど、厳しい制裁を受ける可能性が高いとみられています。
デジタル攻撃者の失態
この外交的インシデントは、サイバー犯罪者も一般的なソフトウェア開発者と同様に頻繁に失敗を犯すことを示しています。以前には、Scattered Lapsus$ HuntersがResecurityのアーキテクチャへの包括的なアクセスを確保し、すべての機密データを窃取したと誇らしげに主張しました。しかし実際には、脅威インテリジェンスの専門家が巧みに設置した罠に足を踏み入れてしまっていました。この逆操作の後、法執行当局は活動中のシンジケートメンバーに関する重要なテレメトリを抽出することに成功しました。
欠陥暗号の防衛的価値
攻撃者のミスが被害者に直接利益をもたらすケースもあります。例えば、CyberVolkシンジケートはランサムウェアの実行ファイルにマスター暗号鍵を誤って埋め込んでしまいました。そのため、被害を受けた組織は身代金の要求に応じることなくデータをシームレスに復元することができました。このようなプログラム上の見落としにより、セキュリティ研究者が無償の復号ツールを作成できるケースも少なくありません。別の事例では、攻撃者が静的な暗号化ソルトを使用したため、暗号化スキーム全体が完全に予測可能となり、解読が可能になりました。
欠陥ロジックと破綻した復元機能
一方、Sicariiランサムウェアの開発者はデータ復元に全く役立たないペイロードを作り上げてしまいました。この悪意あるプログラムは初期化のたびに新しい鍵ペアを生成し、直後に復号に必要な秘密鍵を削除してしまいます。同様に、Nitrogenに存在したプログラミング上の欠陥により、グループ自身の復号ツールでさえ被害者のファイルを復元できない事態となりました。他のランサムウェアファミリーでも、欠陥のあるRSA実装が原因で、セキュリティ研究者が機能する復号ソフトウェアを開発できたケースが繰り返し確認されています。
ランサムウェアの脅威を正しく理解するために
TrellixでVice President of Threat Intelligence Strategyを務めるJohn Fokkerは、以前この現象について言及しています。同氏は、サイバーセキュリティ業界がデジタルの敵を過度に神格化しがちだと指摘しています。実際には、彼らも単なる一般人がコンピューターを使って資産を盗み、不正な収益を得ようとしているに過ぎません。今回のNovaのインシデントは、この人間的な脆弱性を如実に示しています。一人のアフィリエイトメンバーがターゲットを誤認しただけで、精鋭のサイバーシンジケート全体が被害者に許しを乞う羽目になってしまいました。
翻訳元: https://meterpreter.org/nova-ransomware-apology/
