ランサムウェア開発者がキーを消去 - ファイルは2度と復旧できない状態に

ランサムウェアをサービス基盤として提供する「RaaS（Ransomware as a Service）」を展開していた「Encryptor RaaS」が停止した。マスターキーが消去され、被害者は復旧手段を完全に失ったという。

「Encryptor RaaS」は、他ランサムウェアと同様、アフィリエイトによる収益モデルを採用し、ランサムウェアのプラットフォームを提供する「RaaS（Ransomware as a Service）」。2015年中ごろにTorネットワーク上で確認されており、同じくRaaSである「Tox」との類似性が指摘されている。

Cylanceが3月に公表した調査では、当時の被害は1818件。一方で金銭を支払ったケースは、0.44％にあたる8件にとどまり、目立った活動は見られなかった。しかしながら、他サービスより手数料が低い上、セキュリティ対策製品による検知の回避能力を高めていたことから、動向に注目が集まっていた。

同サービスの停止を確認したTrend Microによれば、きっかけは「Encryptor RaaS」の一部コマンド＆コントロールサーバが匿名化されずに公開されてしまったことだという。機器情報のデータベースである「Shodan」へ登録され、6月後半に米当局がクラウドサービス上でホストされていたシステムを押収した。

これを受けて「Encryptor RaaS」の開発者はサービスを急遽停止。さらに複数のサーバが押収された。開発者は一旦4日後に復旧を試みたものの、結局サービスの停止を決定したという。

理由は分かっていないが、同開発者はランサムウェアの暗号化に用いるマスターキーを完全に消去したとしており、ランサムウェアの被害者が金銭を支払ったとしても、データの復旧が行えない状況であるとアナウンス。被害者によるファイルの復旧手段は、完全に失われたと見られている。

（Security NEXT - 2016/10/04 ） ツイート

PR

関連記事

初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
先週注目された記事（2024年3月3日〜2024年3月9日）
先週の注目記事（2024年2月25日〜2024年3月2日）
経営者が想定すべきインシデント発生時のダメージ - JNSA調査
2023年は1割の企業でランサムウェア攻撃を観測
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止
JNSA、2023年10大ニュースを発表 - 事件事故の背景に共通項も
リサイクルされる「ランサムウェア」 - リーク件数は1.5倍に