Brain Cipherとは — インドネシア国家データセンターへの攻撃で話題の新たなランサムウェア
BleepingComputer – June 29, 2024
インドネシアの臨時国家データセンターを攻撃したことでメディアの注目を集めている新たなランサムウェアグループ、Brain Cipher。世界中の組織が同グループに狙われ始めているという。
インドネシア国家データセンターへの攻撃
インドネシアは現在、オンラインサービスやデータホスティングのために政府が使用しているサーバーを安全に保管するための「国家データセンター」を構築中だが、6月20日、臨時データセンターの1つを狙ったサイバー攻撃が発生。政府の複数サーバーが暗号化され、入出国業務、パスポート管理、イベント許可証の発行およびその他のオンラインサービスに支障が生じていた。
その後同国政府は、攻撃の実行者がBrain Cipherという新たなランサムウェアオペレーションであり、200以上の政府機関が影響を受けた旨を確認。また、復号鍵を引き渡すこと、および盗難データのリークを止めることと引き換えに800万ドルの身代金をモネロで支払うよう要求されていることも明らかになった。
Brain Cipherランサムウェアとは
Brain Cipherは、6月初頭に始動したばかりの新しいランサムウェアグループ。ほかのランサムウェアグループと同様、企業ネットワークへ侵入してラテラルムーブメントを行い、Windowsのドメイン管理者認証情報を獲得すると、ネットワーク中にランサムウェアを展開する。また、ファイルを暗号化する前にデータを窃取し、身代金を支払わなければ公開すると脅す二重恐喝戦術を取る点もその他グループと一致している。リークサイトは最近開設されたが、被害組織は現時点でゼロだという。BleepingComputerが観測した身代金交渉では、20,000ドル〜800万ドルの身代金が要求されている。
暗号化ツールにはLockBit 3.0の流出ビルダーを使用
Brain Cipherランサムウェアのサンプルはここ2週間の間にさまざまなマルウェア共有サイトにアップロードされているが、これらのサンプルはLockBit 3.0の流出ビルダーを使って作成されていたという。Brain Cipherは元の暗号化ツールにマイナーな変更をいくつか加えているが、その1つが、暗号化済みのファイルに拡張子を追加するだけでなく、ファイル名まで暗号化するというもの。
Brain Cipherが残すランサムノート(身代金要求メモ)は、攻撃について簡潔に伝えて脅迫を行い、交渉用のTorリンクとデータリークサイトのリンクを提供する内容。「拡張子.README.txt」という形式でファイル名が付けられているが、簡単なアスキーアートが添えられた「How To Restore Your Files.txt」など、ファイル名の異なるバージョンも存在するという。
LockBit 3.0はこれまでに詳細な解析が行われているが、同ツールによって暗号化されたファイルを無料で復元する方法は知られていない。Brain Cipherの暗号化ツールに関しても、同グループが暗号化アルゴリズムに手を入れていない限り、無料復元の道はないものと思われる。