ランサムウェア開発者がキーを消去 - ファイルは2度と復旧できない状態に

ランサムウェアをサービス基盤として提供する「RaaS（Ransomware as a Service）」を展開していた「Encryptor RaaS」が停止した。マスターキーが消去され、被害者は復旧手段を完全に失ったという。

「Encryptor RaaS」は、他ランサムウェアと同様、アフィリエイトによる収益モデルを採用し、ランサムウェアのプラットフォームを提供する「RaaS（Ransomware as a Service）」。2015年中ごろにTorネットワーク上で確認されており、同じくRaaSである「Tox」との類似性が指摘されている。

Cylanceが3月に公表した調査では、当時の被害は1818件。一方で金銭を支払ったケースは、0.44％にあたる8件にとどまり、目立った活動は見られなかった。しかしながら、他サービスより手数料が低い上、セキュリティ対策製品による検知の回避能力を高めていたことから、動向に注目が集まっていた。

同サービスの停止を確認したTrend Microによれば、きっかけは「Encryptor RaaS」の一部コマンド＆コントロールサーバが匿名化されずに公開されてしまったことだという。機器情報のデータベースである「Shodan」へ登録され、6月後半に米当局がクラウドサービス上でホストされていたシステムを押収した。

これを受けて「Encryptor RaaS」の開発者はサービスを急遽停止。さらに複数のサーバが押収された。開発者は一旦4日後に復旧を試みたものの、結局サービスの停止を決定したという。

理由は分かっていないが、同開発者はランサムウェアの暗号化に用いるマスターキーを完全に消去したとしており、ランサムウェアの被害者が金銭を支払ったとしても、データの復旧が行えない状況であるとアナウンス。被害者によるファイルの復旧手段は、完全に失われたと見られている。

（Security NEXT - 2016/10/04 ）ツイート

ランサムウェア開発者がキーを消去 - ファイルは2度と復旧できない状態に

関連リンク

PR

関連記事