- 0APTは競合するランサムウェアオペレーターの身元を公開することを脅迫している
- 二重脅迫戦術はサイバー犯罪集団に対して使用すると効果を失う
- Krybitの認証情報とウォレットデータが流出したサンプルから発見された
ランサムウェアエコシステムは信頼と協力で知られてきたことはありませんが、新しい紛争は犯罪者間の戦争を未知の領域へ押し進めました。
0APTと呼ばれるサイバー犯罪グループが、Krybitという競合するランサムウェア運用に関与する個人の身元を公開することを脅迫しています。
流出したブログ投稿で、0APTは仲間の犯罪人に異例の最後通牒を発行しました。「グループが支払いをしないか、われわれに連絡しない場合、身元写真、名前、場所などを公開します」と投稿に書かれていました。
記事は以下に続きます
二重脅迫モデル
この脅迫にはKrybitの元の被害者に向けられた予期しない申し出も含まれていました:「また、その被害者の一人である場合は、データのロック解除を取得するためにわれわれに連絡してください。」
0APTは、身元を傷つけるという脅威に依存して被害者に身代金支払いを強要する二重脅迫モデルを使用しています。
その影響力は、ターゲットが別のランサムウェアグループである場合、犯罪組織は保護すべき正当な評判を持たないため、ほぼ完全に失われます。
サイバーセキュリティ研究者は、この文脈ではこの戦術の大部分が失われることに注目していますが、0APTは従来のプレイブックに従うかのように進めています。
グループはKrybitから流出したデータのサンプルを流出させ、警告として支払いがない場合は完全ダンプを脅迫しています。
サウスカロライナ州のBarricade Cyber SolutionsのオーナーであるEric Taylorは、0APTによってすでに公開されたKrybitファイルの少数を分析しました。
彼のチームはKrybitオペレーターとアフィリエイトに属するプレーンテキストの認証情報、および5つの暗号通貨ウォレットアドレスを発見しました。
注目すべきことに、チームはKrybitへの単一の支払いランサムの証拠を見つけず、グループが公開主張が示唆したほど成功していないかもしれないことを示唆しています。
Krybitのウェブサイトは現在オフラインであり、「すべてはすぐに機能します。これについて申し訳ありません。不便をおかけして申し訳ありません。」と表示されるスプラッシュページで置き換えられています。
このタイプのグループ内ライバルは完全に先例がないわけではありません。2025年に、DragonForceと呼ばれるグループはBlackLockとMamonaライバルグループを攻撃し、ウェブサイトを改ざんし、内部通信を流出させました。
DragonForceはまた、昨年4月に内紛の1ヶ月後に、元ランサムウェア帝国RansomHubの運用を引き継ぎ、後にシャットダウンしたようです。
セキュリティ企業Halcyonは、0APTは「正当な脅威」を表し、「信頼できる技術的深さ」を示していることに注目していますが、最初の48時間以内に、グループは確実にインフレされた主張を含む数百の被害者のリストを投稿しました。
Krybitによって暗号化された組織の場合、現在の紛争は異常な機会を生み出します。
被害者は、ファイアウォールログとネットワークトラフィックデータが保存されていることを確認する必要があります。これは攻撃の証拠を含む可能性があります。
0APTはKrybitの被害者のための方法を提供しているように見えますが、前者がサイバー犯罪人のままであるため、注意の必要性があります。
0APTが実際にKrybitの被害者のための復号化キーを所有しているかどうかは未証明であり、別の犯罪グループから救出するために1つの犯罪グループを信頼することは明らかなリスクを伴います。
状況は異常ですが、被害者が取るべき最も安全な道は、ライバルの攻撃者ではなく、プロの防御者に依存することです。
