Paradise Ransomware source code released on a hacking forum
2021/06/15 BleepingComputer — Paradise Ransomware の全ソースコードがハッキング・フォーラムで公開されたことで、サイバー犯罪者による独自のランサムウェア開発環境が整っていく。ハッキング・フォーラム XSS 上で公開されたソースコードへのリンクは、このサイトの投稿に返信または反応したことのある、アクティブ・ユーザーのみがアクセスできる。
Security Joes の研究者である Tom Malka が、このソースコードを BleepingComputer と共有したが、対象となるパッケージをコンパイルしたところ、ランサムウェアの Configuration Builder / Encryptor / Decryptor の、合わせて3つの実行ファイルが作成されることが分かった。また。このソースコードには、開発者の母国語であることを示す、ロシア語のコメントが散りばめられている。
Paradise Ransomware のアフィリエイターは、このビルダーを使用して独自のランサムウェアのカスタマイズが可能となり、その範囲はコマンド&コントロール・サーバー/暗号化されたファイルの拡張子/連絡先の電子メールアドレスなどに及ぶとされる。なお、カスタマイズされたランサムウェアが完成すると、アフィリエイターはキャンペーンでマルウェアを配布し、被害者を狙うことができる。
Paradise Ransomware の活動は 2017年9月から始まりましたが、初期のバージョンには欠陥が含まれていたため、Paradise Ransomware 用のデクリプターがリリースされ、うまく機能していました。しかし、新バージョンでは、暗号化方式が RSA に変更されたことで、無償のファイル復号が不可能になったと、この記事は指摘しています。ID Ransomware の統計によると、Paradise Ransomware は 2017年9月〜2020年1月に大量に配布されていましたが、その後、急に先細りになり、現在ではほとんど見られなくなっているようです。しかし、このソースコードを使えば、他の脅威アクターたちが独自にカスタマイズしたランサムウェアをリリースできるため、新たなランサムウェア活動が懸念されます。
IoT OT Security News 