Halcyonによると、2つのランサムウェアグループは相互の運用データをオンラインで流出させた後、傷をなめながらインフラストラクチャを再構築しています。
対立は0APTがリークサイトで3つのランサムウェアグループを標的にしたときに始まりました。新参者のKryBitと、確立された勢力であるRansomHouseおよびEverest Groupです。
流出はKryBitのインフラストラクチャと人員を露出させ、Halcyonの説明によると、グループは「漏洩した運用コンポーネントをローテーションして、彼らの活動への影響を限定する」必要があるでしょう。
「KryBitの流出した管理者パネルには、KryBitの主要なオペレータ、アフィリエイト、および被害者交渉データが含まれていました。活動は2026年3月28日から2026年4月12日の間に及んでいます。流出時点では、KryBitは2人の管理者と5人のアフィリエイト、および20人の潜在的な被害者を持っていました。各被害者について流出したデータは10~250GBの範囲で、身代金要求は$40,000~$100,000でした。」
ランサムウェアについてもっと読む:Contiグループが大規模なデータ侵害を受ける。
報告によると、KryBitは0APTに対してハッキングで報復し、データを盗み、リークサイトを「Next time, don’t play with the big boys(今度は大物にちょっかいを出すな)」というメッセージで改ざんしました。
「KryBitは翌日、完全な0APT運用データセットを流出させました。これは完全なアクセスログ、PHPソースコード、およびシステムファイルを含んでいました。アクセスログは、2026年1月に0APTが最初に投稿した190以上の被害者が完全に捏造されており、リストされている被害者からデータが流出したことはないことを明かしました。」とHalcyonは説明しました。
「さらに、ランサムウェアデータリークサイトのインフラストラクチャはAnLinux-Parrot OSで動作し、Androidフォンの内部SDカード経由ですべてのコンテンツをプッシュしていました。0APTは回復することができず、KryBitは0APTリークサイトの改ざんを維持しています。」
0APTの侵略がしっぺ返しを食う
この場合の侵略者である0APTは、事業のアフィリエイト関心を呼び起こそうとする以前の試みが失敗した後、自分自身のためにいくらかの悪名を得ようとしていたようです。しかし、KryBitが同じように対応した後、それはしっぺ返しを食ったようです。
Everest Groupは、グループによってエンコードされたハッシュ化された公開データおよびユーザーデータが流出されたにもかかわらず、0APTに対して反撃していません。
「KryBitと0APTの両方の広範な流出のため、オペレータは活動を続けるために今後数週間から数か月の間に、インフラストラクチャを再構築、ブランド変更、および立ち上げる必要があるでしょう。」とHalcyonは結論づけました。
元バークレイズCISO兼Halcyon最高戦略責任者のOliver Newburyは、相互報復はランサムウェアグループが受けている財政的プレッシャーの兆候だと述べました。
「これらのグループは生き残るために信頼性に依存しているため、それが亀裂し始めるとライバルは急速にそれを暴露するために動きます。」と彼は付け加えました。
「今、彼らは互いの操作を混乱させ、インフラストラクチャを引き継ぎ、リアルタイムでキャンペーンを損なうことを見ています。それは不安定性を生み出しますが、安全をもたらしません。エコシステムは縮小しません。それは再形成され、しばしば過程でより予測困難になります。」
Chainalysisデータは2025年、攻撃の数が50%増加したにもかかわらず、ランサムウェア行為者への暗号支払いが年間8%急落して8億2000万ドルに落ち込んだことを明かしました。
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-turf-war-0apt-krybit/
