出典:Zoonar GmbH(Alamy Stock Photo経由)
親ロシアのランサムウェア亜種を好んで用いるハクティビスト集団が、致命的な欠陥を抱えた新バージョンとともに再び現れた――被害者が自分のファイルを復号できるようにする痕跡(アーティファクト)を残してしまうのだ。
VolkLockerはCyberVolkが提供するRansomware-as-a-Service(RaaS)であり、2024年末に初めて文書化された同グループは、ロシア政府の利益に沿った攻撃を行うために複数のランサムウェアツールを使用している。これは、SentinelOneが先週公開したブログ投稿による。
CyberWolkは「Telegramによる取り締まり措置」のため2025年はほぼ休眠状態だったが、8月にVolkLocker(別名CyberVolk 2.x)とともに復帰したと、SentinelOneのシニア脅威リサーチャーであるJim Walterは記している。
同グループのRaaS新バージョンは、この作戦が「拡大の課題に苦戦している」ことを示していると彼は指摘した。一方で、新しい提供物にはエンドツーエンドのコマンド&コントロール(C2)通信のための高度なTelegram自動化が含まれている。しかし同時に、「被害者が自己復旧できるテスト用アーティファクトを保持する」という重大な欠陥も導入している、とWalterは書いている。
「マスター暗号化鍵を平文で保存するのは重大な設計ミスであり、ランサムウェアの有効性を損なう。被害者は脅威アクターの身代金要求に応じることなくファイルを復旧できてしまう」と彼は説明した。
背景と新機能
SentinelOneは、CyberVolk(別名GLORIAMIST)の活動を昨年11月に初めて明らかにした。昨年6月から10月にかけて、インド発でありながらロシアの利益のために活動する同グループは、複数のランサムウェア攻撃の犯行声明を出した。SentinelOneによれば、その目的は地政学的問題を、公共機関や政府機関への攻撃の足掛かりであり口実として利用することにある。
VolkLockerは同グループ独自ランサムウェアの進化形で、以前は自己ブランド化されており、2024年2月に登場した親ロシア・反イスラエル・反ウクライナのハクティビスト集団AzzaSecのランサムウェアコードを基にしている。
従来のCyberVolkランサムウェアのバージョンに比べたVolkLockerの重要な新機能は、組み込みのTelegram自動化であり、チャットアプリ上であらゆる通信、購入、サポートが行えるようにしている点だ。これは脅威アクターが「市場での差別化要因」と見なしているモデルだとWalterは書いている。VolkLockerの新しいTelegram C2コントロールパネルはカスタマイズ可能で、アクターはキーロギングなどの新機能を追加できる。
新たなRaaS提供とともに、CyberVolkはランサムウェア以外にも顧客向けの別の悪性製品へと拡大し、価格モデルも更新している。単一OS向けのRaaSライセンスは800~1,100ドルで、LinuxとWindowsの両方に対応するRaaSは1,600~2,200ドル。スタンドアロンのRATやキーロガーなど他の製品は、それぞれ500ドルで提供される。
VolkLockerの復号ミス
しかし、進化と新領域への拡大のさなか、CyberVolkは新しいRaaS提供において、重大な初歩的ミスを犯したとSentinelOneは述べている。このミスにより、同グループに狙われた場合、被害者は大きな優位性を得られるとWalterは語った。
ランサムウェアは暗号化鍵を動的に生成する代わりに、マスター鍵を16進文字列としてバイナリ内にハードコードしている。この暗号化モデルでは、同じマスター鍵が被害者システム上のすべてのファイルを暗号化するという。CyberVolkが犯したミスは、このマスター鍵をランサムウェアの%TEMP%フォルダ内の平文ファイルに書き出してしまったことであり、その結果「発見した被害者にとって取るに足らない復号経路を作り出している」とWalterは投稿で記している。
「この設計上の欠陥はbackupMasterKey()関数に存在し、初期化中に実行される」と彼は書いた。「ランサムウェアはこのバックアップ鍵ファイルを削除しないため、被害者はファイルから必要な値を抽出して復旧を試みることができる」
バックアップ鍵ファイルは、おそらくテスト用アーティファクトが誤って本番ビルドに同梱されたものであり、CyberVolkの運用者は、アフィリエイトがこの欠陥を抱えたままランサムウェアを展開していることに気付いていない可能性があるとWalterは付け加えた。
「VolkLockerは比較的新しいサービスであることを踏まえると、実運用の展開にデバッグ機能と思われるものが存在することは、作戦が、技能の低いアフィリエイトを積極的に勧誘する一方で品質管理を維持するのに苦戦していることを示唆している」と彼は書いている。
CyberVolkの再興を阻止する
この欠陥があっても、2025年を通じてTelegramアカウントの度重なる凍結やチャンネル削除を受けた後にCyberVolkが再興したことは、同グループのロシアのための活動が今後も続くことを示しているとWalterは述べた。
さらに、Telegramベースの自動化の採用は、政治的動機を持つ脅威アクターの間でより広範なトレンドになっている。これは「ランサムウェア展開の障壁を下げつつ、犯罪サービスにとって便利なインフラを提供するプラットフォーム上で運用できる」ためだと彼は書いている。
防御側がCyberVolkに備えられるよう、SentinelOneはVolkLockerの侵害指標(IoC)の一覧を含めた。これにはWindowsおよびLinuxシステム双方への展開に関する指標に加え、攻撃者が身代金支払いに使用しているビットコインアドレスや、Telegramボットのトークンも含まれる。
翻訳元: https://www.darkreading.com/threat-intelligence/flaw-hacktivist-ransomware-victims-decrypt-files
