出典:Sergio Azenha(Alamy Stock Photo経由)
ランサムウェア行為者が互いに攻撃を始めるとき、誰が勝つのでしょうか?おそらくディフェンダーです。
Halcyon Ransomware Research Centerは最近、ブログ記事を公開しました。主に2つの新興ランサムウェア・アズ・ア・サービス(RaaS)グループ、0APTとKryBitについての内容です。どちらも現在のところ有名ではありませんが、この2つのグループは激しい争いに巻き込まれ、その結果両者とも大きなダメージを受けたようです。
0APTは1月下旬に出現し、データ流出ブログに約200人の被害者リストを1週間かけて公開しました。このリストは被害者への実際の侵害の証拠がないため、捏造されたものと広く見なされていますが、Halcyonは0APTが機能する暗号化ツールを使用していたと評価しています。このグループは牽引力やアフィリエイトの獲得に失敗し、その後数ヶ月間沈黙していたと研究者は述べています。
その後4月中旬、0APTが再び姿を現し、以前の偽の被害者リストを削除する一方で、KryBit、Everest(2020年から活動)、およびRansomHouse(2021年から活動)を含むランサムウェア事業者に対するランサムウェア攻撃を主張しました。Halcyonによると、後者の2つは遥かに確立されたグループです。
KryBitは3月下旬に出現し、Windows、Linux、ESXi、およびネットワーク接続ストレージ(NAS)デバイスを標的とするRaaSキットを提供しており、80/20のアフィリエイトモデル(RaaSアフィリエイトが身代金の80%を保持し、KryBitが20%を保持)を採用しています。このグループは最初の2週間で10人の実在する被害者を公開しました。
当初の被害者リストが偽造だったのとは異なり、0APTのカムバック戦略はより現実に基づいています。0APTはEverestとRansomHouseの共同リストを公開し、前者に属するSQLデータベースを投稿しました。このデータベースには、2025年の最初の9ヶ月にわたるエンコードおよびハッシュされたレコードが含まれています。重要なフィールドにはプレーンテキストはなく、RansomHouseはこのリストで言及されていますが、実際のRansomHouseデータは含まれていません。
ランサムウェア行為はランサムウェアの結果をもたらす
Halcyon Ransomware Research Centerのインテリジェンスアナリスト、エリカ・トターロはDark Readingに対し、0APTのユニークな戦術は注目を集めるための一手だった可能性があると述べています。
「犯罪市場での信頼性が実証された被害者と身代金支払いにかかっており、どちらも持っていない場合は、ノイズを生じさせるための別の方法を見つける必要があります。ライバルの管理パネル、アフィリエイトデータ、被害者との交渉を暴露することは、実際の被害者がない場合に信頼性を確保するための手段です。これらのギャングは完全に金銭的利益によって動機付けられており、躊躇なく互いを暴露、脅迫、または貶めます」と彼女は述べています。
Everestは現在のところ公式に報復したり、これを認めたりしていません。
KryBitの場合は異なります。同社のインフラストラクチャと人員の両方が暴露されました。この結果、KryBitには2人の管理者、5人のアフィリエイト、20人の潜在的な被害者、および40,000ドルから100,000ドルの身代金要求があることが明らかになりました。
データ流出への対抗として、KryBitは0APTのインフラストラクチャに侵入して流出させ、0APTを被害者としてリストに加え、0APTのリークサイトに「次は大物と遊ぶな」というメッセージを残しました。
「KryBitは翌日、0APTの完全な運用データセットをリークしました。これには完全なアクセスログ、PHPソースコード、システムファイルが含まれていました。アクセスログから、2026年1月に0APTが最初に投稿した190以上の被害者は完全に捏造されており、リストされた被害者からデータが流出していなかったことが明らかになりました」と研究者は述べています。「0APTは回復できず、KryBitは0APTのリークサイトの改ざんを続けています。」
ランサムウェアギャング戦争
Halcyonが指摘しているように、両グループは今回の事態から回復するために、インフラストラクチャの再構築、ブランド変更、新しいシステムの構築が必要になるでしょう。
ランサムウェア事業者間の対立は珍しくはありませんが、ここで見られるような形で展開することは稀です。対立は通常ランサムウェア事業者とアフィリエイトの間で発生し、意見の相違または詐欺の可能性が原因となります。
トターロはギャング間の対立はディフェンダーにとって純粋な利益だと述べています。第1に、これはディフェンダーに作戦内部への窓口を提供し、セキュリティプロフェッショナルが将来の攻撃に備える機会を与えます。
「事業者が再構成したり、アフィリエイトが新しいサービスに移行したりするとき、彼らの戦術、技術、手順は彼らと共に移動します。ツールは変わりますが、行動はほぼ変わりません」と彼女は説明しています。「その共通点こそが、ディフェンダーが警告できるものです。つまり、これらのグループ間のドラマは混乱しているように見えるかもしれませんが、これらの瞬間に露呈される情報の価値は実在し、実行可能なのです。」
このブログ記事には侵害の指標が含まれています。ディフェンダーの場合、Halcyonはデータステージングおよび流出の兆候を監視し、バックアップの完全性を検証し、アンチランサムウェア防御を展開することを推奨しています。この記事はまた、0APTの被害者リストが不正であったが、KryBitとEverestは正当な脅威として扱われるべきであることを強調しています。
翻訳元: https://www.darkreading.com/threat-intelligence/feuding-ransomware-groups-leak-data
