Open Source Ransomware Toolkit Cryptonite Turns Into Accidental Wiper Malware
2022/12/06 TheHackerNews — Cryptonite と呼ばれるオープンソースのランサムウェア・ツールキットだが、その構造とプログラミングの問題により、ワイパー機能を持つことが判明した。Cryptonite は、他のランサムウェア系統とは異なり、サイバー犯罪者の地下マーケットでは販売されていない。その代わりに、最近まで CYBERDEVILZ という脅威アクターが、GitHub リポジトリで無料で提供していた。このソースコードとフォークは、その後に削除されている。
この Python で書かれたマルウェアは、暗号パッケージの Fernet モジュールを採用し、拡張子 .cryptn8 のファイルを用いて暗号化を行う。しかし、Fortinet FortiGuard Labs が分析した新しいサンプルには、ロックしたファイルを復号化するオプションが存在せず、破壊的なデータ・ワイパーとして動作することが判明している。
しかし、この仕様は、脅威アクターが意図的に行ったものではなく、Cryptonite の品質管理不足に起因している。暗号化処理が完了した後に身代金請求書を表示しようとすると、プログラムがクラッシュしてしまうのだ。
Fortinet の研究者である Gergely Revay は、月曜日の記事で、「この欠陥の問題は、ランサムウェアの設計が単純であるため、プログラムがクラッシュ/終了した場合、暗号化されたファイルを復元する方法がないことだ」と述べている。
ランサムウェア・プログラムの実行中に発生する問題は、ファイルを暗号化するために使用されるキーがオペレーターに送信されないことも意味し、それによりユーザーは、データからロックアウトされることになる。
今回の調査結果は、ファイル暗号化マルウェアを装ったワイパーが、復号化を行うのではなくデータを上書きする、ランサムウェアの進化を背景にしている。
データ・ワイパーに関しては、2022年3月15日の「CaddyWiper という新たなデータワイパー:ウクライナのネットワークを攻撃」や、11月14日の「ウクライナ CERT 対 ロシア IAB:新たなデータワイパー・キャンペーンの発見と追跡」などの記事があります。これらは、明らかにデータ・ワイパー攻撃を意図したものですが、それらとは異なる形で、新たなワイパーが登場したことになります。なんとも迷惑な Cryptonite のバグですが、これもサーバー攻撃のコモディティ化の弊害なのでしょうか? よろしければ、as-a-Service で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.