ランサムウェアグループは雑草のように次々と出現し、離脱、内紛、そして無制限の競争が蔓延する過密な領域で注目すべき地位を狙っている。しかし、0APTが先月下旬に行ったように、約200件の被害者を主張して登場することは稀である。
研究者たちは、0APTが主張する被害者のいずれかを攻撃したという証拠をこれまでのところ確認していない。被害者には著名な組織が含まれている。0APTが公開した被害者データのサンプルや、プレースホルダーファイルツリーの構造とサイズは、このグループの犯罪行為とされるものにさらなる疑念を投げかけている。
ほとんどの兆候は、このグループが大規模な詐欺を行っていることを示唆しているが、0APTが与える脅威の少なくとも一部は事実に基づいている。このグループの誇張された見せかけは、勢いの感覚を作り出し、認知を得て、協力者を引き付けるための策略かもしれない。
「0APTはすでに侵害した被害者について嘘をついている可能性が高いが、実際のランサムウェアの技術的能力については嘘をついていない」と、HalcyonのランサムウェアリサーチセンターのシニアバイスプレジデントであるCynthia Kaiserは、CyberScoopに語った。
0APTのインフラストラクチャは、暗号学的に強力で完全に動作するランサムウェアバイナリ、独自のコード、および協力者向けによく整理されたパネルを含めて健全であると彼女は述べた。「たとえ研究者がほとんどの主張された被害者が捏造されたものと評価しても、基礎となるランサムウェアペイロードは、それに遭遇するあらゆる組織にとって本物のリスクを表しています。」
このグループの法外な主張は、研究者の関心と潜在的な被害者(認識されているか現実のものかを問わず)の間での広範な恐怖が、マインドシェアと共謀者を競う犯罪シンジケートに利益をもたらすという、ランサムウェアの混乱した状態を強調している。
0APTの明らかに急速な台頭と、オンラインになってから最初の週で約200組織に達した大量の被害者数の主張は、複数のランサムウェア研究企業の注目を集め、今週HalcyonとGuidePoint Securityによるレポートをもたらした。
研究者たちは、このグループの初期の主張を欺瞞行為とみなしている。裏付けとなる証拠なしに多数の被害者を主張するこのパターンは、昨年、Babuk2やFunkSecを含む他のランサムウェアグループで浮上し、最終的に確認された被害者を開示した。
「最初の偽リストの後、ギャングが協力者を引き付け、完全に機能するRansomware-as-a-Service組織に成熟するにつれて、正当な被害者が見られ始めました」とKaiserは述べた。
GuidePointの研究者たちは、0APTが本物の問題に進化する可能性があることを認めているが、このグループの能力についてはより否定的である。
GuidePointのプリンシパル脅威インテリジェンスコンサルタントであるJustin Timothyは、0APTの暗号化ツールはランサムウェア仲間の中でユニークでも注目に値するものでもないと述べた。
「ランサムウェア暗号化ツールは攻撃キルチェーンの一部に過ぎません」と彼は述べた。「脅威アクターは依然として初期アクセスを取得し、特権を昇格させ、検出やエンドポイント検出・対応を回避しながら横方向に移動できる必要があります。これらの側面は、暗号化マルウェアの作成と比較して、より多くのスキルと技術的知識を必要とすることがよくあります。」
0APTは詐欺を行っているかもしれないが、一夜限りの作戦ではないように見える。
Halcyonによると、このグループの被害者とされる組織は日和見的であり、主に重要インフラとデータが豊富なセクターで活動している。主張される被害者のほとんどは米国に拠点を置いており、ターゲットとされる上位セクターには、ヘルスケア、専門サービス、テクノロジー、輸送・物流、エネルギー、製造業が含まれる。
0APTは、データリークサイトから被害者とされる組織を継続的に追加および削除しており、同サイトは今週初めに一時的にオフラインになった後、被害者数が大幅に減少して復旧した。
「このグループの初期の主張は、妥当性よりも可視性と勢いを得ることに重点を置いているようであり、それらが協力者をより早く募集すると信じている」とKaiserは述べた。
協力者を引き付けることと将来の作戦への注目が0APTの行動の一部を推進している可能性があるが、サイバー犯罪者は、嘘の程度が広く知られるようになると、そのような活動を頻繁に嘲笑すると、GuidePointの脅威インテリジェンスのマネージングセキュリティコンサルタントであるJason Bakerは述べた。
「その戦略は、ほぼ確実に近視眼的であり、0APTの捏造によって損なわれており、これにより彼らは今後協力者にとって魅力のないパートナーや行き先となっています」とBakerは述べた。「結局のところ、もし彼らが被害者と能力についてこれほど厚かましく嘘をつくつもりなら、協力者にも嘘をつかない理由がどこにあるでしょうか?」
0APTの構成は不明なままであり、他のランサムウェアバリアントとの明白な系統や重複はないが、このグループは金銭的に動機付けられており、コミュニケーションにおいて非常に攻撃的であるとKaiserは述べた。
「オペレーターは初心者ではないように見えますが、誰がグループを運営しているのか、その正確な起源については証拠がありません」と彼女は付け加えた。
このグループに関する技術分析を開発しているHalcyonは、0APTが最終的に正当な被害者を捕らえる本物の脅威をもたらすと主張している。
「彼らが注目を集め、有能な暗号化ツールを操作しているという事実を考えると、実際の被害者がすぐに現れる可能性は高いと見ています」とKaiserは述べた。「すべての偽の被害者を削除し、たとえ数人であっても実際の被害者をリストし始めるような集中的なリブランディングは、このグループが深刻な作戦に進化したという強力なシグナルになるでしょう。」
翻訳元: https://cyberscoop.com/0apt-ransomware-group-hoax-technical-capabilities/
