INCランサムウェアのソースコードとされるものが30万ドルで売りに出される
(情報源:BleepingComputer – May 13, 2024)
過去にヤマハ発動機のフィリピン子会社などを攻撃したことで知られるINC Ransomランサムウェアのソースコードとされるものが、ハッキングフォーラム上で売りに出されている。これと並行して、INC Ransomはリークサイトを新たな恐喝・リーク用ブログへ移行させ始めており、同グループで内部分裂や幹部メンバーの交代、プランの変更といった何らかの変動が起きている可能性が示唆されている。
売りに出された「INCのソースコード」は本物?価格は30万ドル
「INCのソースコード」とされるものがハッキングフォーラム「Exploit」および「XSS」で販売されるのを観測したKELAによれば、販売者は「salfetka」と名乗る脅威アクター。同アクターはWindows版とLinux/ESXi版の両方を30万ドルで販売しており、購入できるのは3名限定となっている。
KELAの専門家によれば、使用されているアルゴリズムの情報などのsalfetkaの投稿に記された技術的詳細は、既に公になっているINC Ransomのサンプルの解析内容と一致しているという。また、salfetkaが過去にネットワークアクセスの購入を希望すると主張し、ランサムウェア攻撃で得た収益を初期アクセスブローカーに分配すると申し出ていたことや、自らの投稿内にINC Ransomの新旧両方のページURLを添付して同グループとの繋がりがあることを示唆していることなども、このソースコードの信憑性を高めている。一方で、これらはソースコードを本物のように見せるための細工であり、実際には偽物を売り付けて金儲けをしようという詐欺行為である可能性も、完全には捨てきれないという。
INC Ransomオペレーションにも変化が?
INC Ransomは2024年5月1日、恐喝・リークの場を新たな「ブログ」サイトへ移すと旧リークサイト上で発表し、新たなTorアドレスを共有。旧サイトが今後2、3か月以内に閉鎖予定であることも伝えた。新サイトは既に始動しており、現時点で「64」の被害組織が掲載されている。このうち、旧サイトに名前のない新たな被害者は「12」いる。一方で、旧サイトに掲載されている組織数は「91」。
重複する被害組織もあるものの、約半数が新サイトには受け継がれていないことから、KELAのアナリストは、INCランサムウェアが「リーダーの変更や複数グループへの分裂」を経験していた可能性が示されているのかもしれない、と述べている。
一方で、INCランサムウェアの新サイトのデザインがHunters Internationalグループの恐喝サイトと似ている点も、両者の結びつきを示唆している可能性があることから、注目に値するという。
ソースコードの販売は、世界中の組織にとって厄介な問題
ソースコードが公にリークされた場合などは、セキュリティアナリストなどがそれを分析することができるが、売り手・買い手間で受け渡されてしまうとそれが不可能。また、こうした商品は、ランサムウェア界に新規参入したばかりの意欲的なアクターや、より強固な暗号化ツールの獲得を望む中堅グループなどに購入されることが多い。さらに、自組織のリブランドを目論むランサムウェアグループにとってもこうした商品は魅力的。というのも、自らの古い暗号化ツールを再利用するよりも、別のランサムウェアグループのツールを使った方が、法執行機関や研究者の追跡をかわしやすいため。こうした事情を踏まえると、ソースコードの販売は防御側にとっては懸念材料となり得る厄介な問題だと言えるかもしれない。