キヤノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される
今回は「キヤノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される」についてご紹介します。
関連ワード (停止、必要、比率等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Maze、Egregor、Sekhmetランサムウェアファミリーのデクリプターが公開された。これはサイバー犯罪者が最近の法執行機関の動きに脅かされていることを示している。
関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた
Mazeは、かつて最も活発で悪名高いデータ窃盗ランサムウェアグループの1つとされていた。2019年5月に活動を開始したこのギャングは、ハッカーがまず被害者のデータを抽出し、身代金を支払わなければ盗んだファイルを公開すると脅すという、二重恐喝モデルを導入したことで悪名を馳せた。典型的なランサムウェアグループは、ファイルを暗号化するマルウェアを被害者に感染させ、ファイルを人質にして暗号資産を要求する。
2020年11月に閉鎖を発表したこのグループは、Cognizant(コグニザント)、Xerox(ゼロックス)、LG、Canon(キヤノン)など、数多くの著名企業を被害者にした。
関連記事
・悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言
・IT最大手のCognizantがランサムウェア攻撃を受けたことが判明
Egregorは2020年9月、Mazeの活動が停止し始めた頃に現れ、前身と同じ二重恐喝の手法を採用した。Ubisoft(ユービーアイソフト)、Barnes & Noble(バーンズ・アンド・ノーブル)、Kmar(Kマート)、バンクーバーの地下鉄システムなど、多くの被害者を出したものの、2021年2月にEgregorのメンバー数名がウクライナで逮捕されたため、活動は短命に終わった。
2020年3月に活動を開始したSekhmetは、MazeやEgregorと多くの類似点を持っている。後者よりも先に登場しているが、サイバーセキュリティ研究者は、類似した戦術、難読化、APIコール、身代金要求メッセージを観察している。
米国時間2月9日、これら3つのオペレーションの開発者を名乗る「Topleak」と名乗る人物が、Bleeping Computerフォーラムへの投稿で、3つすべてのランサムウェアファミリーの復号鍵を公開した。
Topleak は「多くの疑惑を招くことになり、そのほとんどが虚偽となるため、強調しておく必要がありますが、これは計画的なリークであり、最近の逮捕やテイクダウンとは何の関係もありません」と述べ、チームメンバーの誰もランサムウェアに戻ることはなく、ランサムウェアのソースコードはすべて破棄したと付け加えた。
復号鍵が正規のものであることを確認したEmsisoft(エムシソフト)は、Maze、Egregor、Sekhmetの被害者が無料でファイルを復元できるようにデクリプターをリリースした。
Emsisoftのランサムウェア専門家であり、脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、復号鍵の公開は、サイバー犯罪者が動揺していることを示す1つの兆候であるとTechCrunchに語っている。
「復号鍵を公開したことは、最近のREvilの逮捕とは何の関係もないとギャングは主張していますが、そんなわけありません。現実には、彼らのコストとリスクがともに増加しているのです」とキャロウ氏はいう。「ランサムウェアがこれほど大きな問題になったのは、サイバー犯罪者がほとんど完全に無罪放免で活動できたからです。しかし、もはやそれは通用しません。問題が解決されたわけではありませんが、リスクとリターンの比率において、(犯罪者にとって)より多くの『リスク』が存在するようになりました」。
関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収
画像クレジット:Getty Images
【原文】
A decryptor has been released for the Maze, Egregor and Sekhmet ransomware families in yet another sign that cybercriminals are rattled by recent law enforcement action.
Maze was once considered one of the most active and notorious data-stealing ransomware groups. The gang, which began operating in May 2019, gained infamy for introducing the double-extortion model, in which hackers first exfiltrate a victim’s data and threaten to publish the stolen files unless the ransom was paid. Typical ransomware groups infect a victim with file-encrypting malware and hold the files in exchange for cryptocurrency.
The group, which announced that it was shutting down in November 2020, claimed a number of high-profile victims, including Cognizant, Xerox, LG and Canon.
Egregor emerged in September 2020 as the Maze operation began shutting down and employed the same double-extortion technique as its predecessor. Despite claiming a number of victims — including Ubisoft, Barnes & Noble, Kmart and Vancouver’s subway system — the operation was short-lived, as several members of Egregor were arrested in Ukraine in February 2021.
Sekhmet, which launched in March 2020, shares a number of similarities with Maze and Egregor. Although it emerged before the latter, cybersecurity researchers have observed similar tactics, obfuscation, API calls and ransom notes between the two.
On Wednesday, someone identifying themselves as “Topleak,” who claims to be the developer for all three operations, released decryption keys for all three ransomware families in a Bleeping Computer forum post.
“Since it will raise too much clues and most of them will be false, it is necessary to emphasize that it is planned leak, and have no any connections to recent arrests and takedowns,” Topleak said, adding that none of their team members will ever return to ransomware and that they destroyed all of the source code for their ransomware.
Emsisoft, which confirmed that the decryption keys are legitimate, has released a decryptor to allow any Maze, Egregor and Sekhmet victims to recover their files for free.
Emsisoft ransomware expert and threat analyst Brett Callow told TechCrunch that the release of the decryption keys is another sign that cybercriminals are rattled.
“While the gang claims their decision to release the keys has nothing to do with the recent arrests of REvil — yeah, right. The reality is that their costs and risks are both increasing,” said Callow. “Ransomware became such a big problem because cybercriminals were able to operate with almost complete impunity. That’s no longer the case. While the problem is far from solved, there’s now far more ‘risk’ in the risk/reward ratio.”
(文:Carly Page、翻訳:Aya Nakazato)