嘘つきの嘘つきによる嘘の最新事例として、「0APT」と名乗るランサムウェア組織は、見かけよりもはるかに実態のないものであるようだ。
この新しいグループは1月下旬にデータ流出サイトを立ち上げ、1週間の間に200件以上の被害者を主張する情報を投稿した。
「通常、立ち上げ直後から高い活動ペースを示す新しいグループは、別の確立されたランサムウェアグループの『リブランド』または『分裂』を示すシグナルであり、経験豊富な攻撃者が単に新しい名前で活動を継続していることを意味します」と、サイバーセキュリティコンサルタント会社GuidePoint Securityの月曜日のレポートは述べている。「そのため、当然ながら、私たちはより詳しく知ることに興味を持ちました。」
0APTの物語は、その名前がおそらくゼロデイ脆弱性や高度持続的脅威グループ(APT)への言及であり、APTは国家支援型攻撃グループの同義語である可能性があるが、すぐに崩れ去った。
今月初め、多数の被害者が偽物であり、その名前はおそらく人工知能チャットボットを使用して生成されたものであるとの複数のオンライン報告の後、このグループはデータ流出サイトをオフラインにした。サイトは再立ち上げされ、最終的に十数件の実在の組織を被害者としてリストアップした。
これまでのところ、これらの被害者のいずれも確認されていない。GuidePoint Securityの研究者が把握している少なくとも2つのケースでは、被害を主張された組織が詳細なインシデント対応評価を実施したが、侵害やデータ窃取は発見されなかった。
脅威インテリジェンス企業Kelaは、0APTランサムウェアグループが「詐欺組織の可能性が高い」兆候が数多くあると述べた。このグループが使用したとされるランサムウェアの実行ファイルは、2011年に作成され、最後に更新されたのは3年前だった。研究者たちは、このグループに関連する身代金要求メモを一度も目にしたことがない。また、疑わしい点として、組織が被害に遭った証拠として、このグループがデータ流出サイトに投稿した盗まれたとされるデータのダウンロードは、完了するまでに7,000日以上かかるほど速度が制限されているように見える。
0APTの明らかな目的は「ランサムウェアによる恐喝ではなく、他のサイバー犯罪者を騙すことである」とKelaは述べた。この評価のさらなる証拠として、このグループがランサムウェア・アズ・ア・サービスのアフィリエイトプログラムに参加するために、応募者に1ビットコインの評価料の支払いを要求していることが挙げられた。
募集通知はまた、応募者がゼロデイ脆弱性を所有している場合、それを明示的に披露するよう求めている。「これは二次的な略奪的動機を示唆しています」とKelaは書いている。このグループは、高価値のツールや脆弱性を盗もうとしている可能性が高い。
0APTが主張するような本格的なランサムウェア・アズ・ア・サービス組織になるかどうかは、まだわからない。初期の取り組みは、グループの知名度を高めるための策略である可能性がある。「0APTまたは関連する攻撃者が将来的に実際の攻撃を実行する可能性を排除することはできません」とGuidePoint Securityは述べた。このグループは最近、関心のあるアフィリエイトやビジネスパートナーのための暗号通貨「セキュリティボンド」参加費を撤廃した。
しかし、他の犯罪者を騙すことを目的とした詐欺的なサイバー犯罪グループを運営するのは、これが初めてではない。「2024年初頭に、虚言癖のあるグループ『Mogilevich』による、サイバー犯罪者を欺くための同様の行動を観察しました。この攻撃者はその後、それが最初から詐欺であったことを認め、その結果85,000ドルを稼いだと主張しました」とGuidePoint Securityは述べた。
もう一つの繰り返される詐欺手法は、前身組織が盗んだ大量のデータを所有する、新たに復活したランサムウェアグループを装うことだ。「ランサムウェアの分野では特に、詐欺師がランサムウェアグループや他の著名な攻撃者になりすまそうとする注目すべき事例がありました」と、Kelaのリサーチ責任者Elad EzrahiはInformation Security Media Groupに語った。
これには、2025年1月に復活したとされるBabukランサムウェアグループのデビューが含まれていた。運営者は被害者をリストアップしたが、すべて「主にRansomHub、FunkSec、元のBabukギャング、さらにはLockBitやMeowなどの他のグループを含む、さまざまな他のランサムウェアグループからコピーされた」ものであり、Babukはそれらをそのまま再掲載していたと、Kelaは当時述べた。
そのグループの前には、2023年にState Farm Insuranceおよび日本の通信大手NTTドコモから顧客の個人識別情報を盗んだと主張するRansomedVCと名乗るグループがあった。これらのケースはいずれも、完全に架空の盗まれたデータセットを含んでおり、脅威攻撃者がこれらの組織を恐喝する試みの一部として使用したと、脅威インテリジェンスプラットフォームベンダーAnalyst1のチーフセキュリティストラテジストJon DiMaggioが報告している(武器化された嘘:RansomedVCのビジネス戦略を解明するを参照)。
本物のランサムウェアグループでさえ、評判を高め、被害者に圧力をかけるために、被害者を誇張している。このような戦術は、ランサムウェアグループ(本物か偽物かを問わず)が定期的にあらゆる手段を使って利益を追求し、躊躇なく嘘をつくことを思い出させてくれる。他の一般的な策略には、盗まれたデータの削除を約束すること、機能する、または正常に機能する復号ツールを提供すること、身代金を支払った被害者が二度と恐喝されないという保証を提供することなどがある。
AIを使用してゼロから偽のデータを作成したり、正規のデータセットを改変したりすることが容易であることを考えると、より多くの詐欺師が、本物のように見える被害者や流出したデータセットの生成を支援するためにチャットボットを利用する可能性があるかどうかという疑問が残る。
「AIの台頭以前から、この種の詐欺行為を観察してきましたが、AIは確かに本物のサイバー犯罪者と詐欺師の両方にとって増幅装置として機能しています」とKelaのErahi氏は述べた。
翻訳元: https://www.databreachtoday.com/fake-out-0apt-data-leak-ransomware-group-branded-scam-a-30726
