Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサムウェア開発者がキーを消去 - ファイルは2度と復旧できない状態に

ランサムウェアをサービス基盤として提供する「RaaS(Ransomware as a Service)」を展開していた「Encryptor RaaS」が停止した。マスターキーが消去され、被害者は復旧手段を完全に失ったという。

「Encryptor RaaS」は、他ランサムウェアと同様、アフィリエイトによる収益モデルを採用し、ランサムウェアのプラットフォームを提供する「RaaS(Ransomware as a Service)」。2015年中ごろにTorネットワーク上で確認されており、同じくRaaSである「Tox」との類似性が指摘されている。

Cylanceが3月に公表した調査では、当時の被害は1818件。一方で金銭を支払ったケースは、0.44%にあたる8件にとどまり、目立った活動は見られなかった。しかしながら、他サービスより手数料が低い上、セキュリティ対策製品による検知の回避能力を高めていたことから、動向に注目が集まっていた。

同サービスの停止を確認したTrend Microによれば、きっかけは「Encryptor RaaS」の一部コマンド&コントロールサーバが匿名化されずに公開されてしまったことだという。機器情報のデータベースである「Shodan」へ登録され、6月後半に米当局がクラウドサービス上でホストされていたシステムを押収した。

これを受けて「Encryptor RaaS」の開発者はサービスを急遽停止。さらに複数のサーバが押収された。開発者は一旦4日後に復旧を試みたものの、結局サービスの停止を決定したという。

理由は分かっていないが、同開発者はランサムウェアの暗号化に用いるマスターキーを完全に消去したとしており、ランサムウェアの被害者が金銭を支払ったとしても、データの復旧が行えない状況であるとアナウンス。被害者によるファイルの復旧手段は、完全に失われたと見られている。

(Security NEXT - 2016/10/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

先週注目された記事(2024年11月3日〜2024年11月9日)
先週注目された記事(2024年10月13日〜2024年10月19日)
先週注目された記事(2024年9月1日〜2024年9月7日)
脆弱な「VMware ESXi」、グローバルで2万台以上が稼働か - 国内でも
6月の脆弱性悪用リスト「KEV」への登録は9件
約3割が過去3年間にサイバー攻撃の被害経験 - ランサムは3.8%
先週注目された記事(2024年5月12日〜2024年5月18日)
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古