TokyoBlackHatNews

darkreading.com 4分で読了

バイブコーディングで作られた「Sicarii」ランサムウェアは復号できない

ノートPCのキーボードの上に置かれた施錠された南京錠

出典:Panther Media Global(Alamy Stock Photo経由)

新たに出現したSicariiランサムウェアの被害に遭った場合、身代金を支払う選択は決してすべきではない。復号プロセスが機能せず、おそらく未熟なサイバー犯罪者がバイブコーディングで作成したことが原因とみられるためだ。

HalcyonのRansomware Research Centerの研究者は、被害者が支払ったとしても復号プロセスが失敗し、脅威アクターでさえ問題を修正できない形で破綻するという技術的欠陥を確認した。身代金の支払いはもちろん、一般的に推奨されない。支払いはさらなるサイバー犯罪の資金源となり、また必ずしも保証されないからだ。データの安全が確保されるとも限らず、攻撃者が再びあなたを搾取しないとも言い切れない。 

それでも、たとえ組織が身代金要求の支払いを決断したとしても、暗号化されたデータがただロックされたままになるというのは、踏んだり蹴ったりだ。

Halcyonは1月23日に発表し、Sicariiは先月、Ransomware-as-a-Service(RaaS)の提供として登場し、運用者が地下のサイバー犯罪フォーラムで宣伝していたと述べた。Sicariiの壊れた復号プロセスについて研究者は、「実行中にマルウェアがローカルで新しいRSA鍵ペアを再生成し、新たに生成した鍵素材で暗号化を行った後、秘密鍵を破棄する」と説明している。

セキュリティアラートは続けて、「この実行ごとの鍵生成により、暗号化は復元可能なマスターキーに紐づかず、被害者には実行可能な復号経路が残らない。結果として、攻撃者が提供する復号ツールは影響を受けたシステムに対して無効になる」としている。

Sicariiマルウェアの奇妙な挙動はAIツール利用を示唆

Check Point Research(CPR)は、同グループを1月上旬に取り上げており、Sicariiは「ヘブライ語、歴史的シンボル、そして金銭目的のランサムウェア運用では通常見られない過激な右派イデオロギーへの言及を用い、自らをイスラエル/ユダヤ系であると明確にブランディングしている」と述べた。 

それにもかかわらず、CPRによればマルウェアのオンライン活動は主にロシア語で行われており、ヘブライ語ベースのコンテンツは誤りから見て機械翻訳、あるいは非ネイティブのものに見えるという。「これらの指標は、同グループが主張するアイデンティティの真正性に疑問を投げかけ、真の国家的・思想的整合性というより、演出的あるいは偽旗的な振る舞いの可能性を示唆する」と研究者は述べた。 

CPRによると、1月14日時点で、ランサムウェアの広報責任者を名乗る運用者が、Sicariiは3〜6件の被害者を侵害し、その全員が身代金を支払ったこと、また主に中小企業を標的にしていることを述べたという。サイバー犯罪者の行動には本質的に信頼性がないため、これらの主張がどれほど正確かを判断することは不可能だ。さらに、Sicariiの挙動の複数の要素(公開グループチャットで「ランサムウェアAPK」を要求するなど)は、経験の浅いアクターを示唆している。

これは、壊れた復号プロセスを扱ったより最近のセキュリティアラートとも符合する。「Halcyonは中程度の確度で、開発者がAI支援ツールを使用した可能性があり、それがこの実装ミスに寄与した可能性があると評価している。」

Ransomware Research Centerのシニア・バイスプレジデントであるCynthia Kaiser氏はDark Readingに対し、鍵処理の欠陥の性質が示すとおりランサムウェアのコードが粗雑であるため、AI支援ツールが使われた可能性があるとHalcyonは考えていると語った。このレベルの復号失敗をどの程度の頻度で目にするかと問われると、かなり稀だという。ただし、信頼性に欠ける不完全な復号ツールは「珍しくない」としている。

「復号に広範な手作業の介入や、脅威アクターとの長期にわたるやり取り(時には数週間)を要したケースを多く見てきた」と同氏は言う。「実務上、多くのグループは、完全にゼロから作るよりも、実績のある、あるいは流出したランサムウェアのソースコードを再利用することを好む。そうすることで、このような致命的な失敗のリスクを減らせる。」

Sicariiの被害者は支払い前に慎重になるべき

Sicariiに侵害された組織にとっての重要な教訓は、いかなる身代金支払いを検討する前にも慎重になることだ。Halcyonの投稿も同様の趣旨を述べ、影響を受けた組織は「この欠陥が修正されたという独立した確認がない限り」、身代金を支払っても暗号化データは復元されないと想定すべきだとしている。

たとえマルウェア作者が問題を修正したとしても、すでに侵害された組織がその恩恵を受けられるのか、それとも手遅れなのかは不明だ。 

また、組織が身代金を支払って欠陥のある復号ツールを受け取った場合、Halcyonは交渉から直ちに切り替え、「代替の復旧経路を通じて業務を復旧する」ことを推奨した。これは、バックアップの維持、影響を受けたシステムの隔離、フォレンジック証拠の保全、影響範囲の特定、必要に応じて経験豊富なランサムウェア・インシデント対応サービスの活用を意味する。 

翻訳元: https://www.darkreading.com/endpoint-security/vibe-coded-sicarii-ransomware-decrypted

ソース: darkreading.com
#AI支援コーディング(vibe-coding) #RaaS(ランサムウェア・アズ・ア・サービス) #RSA鍵管理の欠陥 #Sicariiランサムウェア #インシデント対応とバックアップ復旧 #サイバー犯罪フォーラム #中小企業への攻撃 #偽旗・なりすまし疑惑 #復号不能 #身代金支払いリスク

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開